セキュリティのバランス感覚を養うための1冊：Security&Trust ウォッチ（45）

セキュリティのトレードオフを考える

　あなたが普段携わっている分野には、セキュリティ対策や製品、サービスも多種多様なものが提供されていることでしょう。社会にはいわずもがな、さまざまなセキュリティがあり、そこには優れたセキュリティも多く存在しますが、残念なことに、お粗末なセキュリティも含まれています。この違いをどうやって見分ければよいのでしょうか。

　それは、セキュリティのトレードオフを考えることです。トレードオフというのは、二律背反の関係、何かを求めれば何かを犠牲にするといった関係のことです。これについてよく考えれば、どの対策が役に立つのか、コストが適正なのか、といったことが見えてくるようになります。

　この『セキュリティはなぜやぶられたのか』は、それを判断する力の素地を作ってくれます。この素地は決してセキュリティの専門家でなければ得られないものではありません。細かいところは難しいかもしれませんが、誰もが普段考えているようなことを、もう少しだけ具体的に考えるだけなのです。

　本書の著者、ブルース・シュナイアー氏は暗号学者で、コンピュータセキュリティの世界的な権威の方です。著書には『暗号の秘密とウソ』や『暗号技術大全』といった、一読をお勧めしたいものがあります。こういった経歴を持つ著者と、『セキュリティはなぜやぶられたのか』というタイトルだと、本書はコンピュータセキュリティに焦点を絞っているのかと想像してしまいます。しかし、想像とは異なり、主題は「日常の社会におけるセキュリティ」なのです。本書の原題は、『Beyond Fear』とあり、これは「恐怖心を乗り越えて」という訳が近いと思います。「コンピュータセキュリティ」だけでは「恐怖」という感情を、あまり連想しませんよね。

　日常のセキュリティのトレードオフを考えることができるようになれば、それをコンピュータのセキュリティにも活用することができます。この考える力は、セキュリティの分野によって異なるということはありません。

5段階評価でセキュリティを判断する

　本書でセキュリティ対策を検討する際に登場するのが、「5段階評価法」です。これは5つのステップを検討し、評価していくことで、提示された対策が「実施する価値のある対策かどうか」を判断することができるようになるというものです。

【ステップ1】

・守るべき資産は何か

【ステップ2】

・その資産はどのようなリスクにさらされているのか

【ステップ3】

・セキュリティ対策によって、リスクはどれだけ低下するのか

【ステップ4】

・セキュリティ対策によって、どのようなリスクがもたらされるのか

【ステップ5】

・対策にはどれほどのコストとどのようなトレードオフが付随するか

　この5段階を検討することで、追加リスク（ステップ4）とトレードオフ（ステップ5）に対して、十分大きなリスク低減メリット（ステップ3）が得られるかどうかを考えることができます。

　では、本書で取り上げられている実例を見てみましょう。「クレジットカード詐欺を避けるため、カード番号をWebページで入力したりするのをやめるべきだろうか？」ということを、5段階評価法を用いて検討しています。

【ステップ1】

• 守るべき資産は、「カード番号」。

【ステップ2】

• 資産がさらされているリスクは、「カード、カード番号の窃盗」。被害に遭いたくない。
• 米国ではカード所有者の負担は約50ドル以下、詐欺被害ではそれさえも負担せずに済むことが多いので、実際のリスクはあまり大きくない。ただし、新しいカードを取得し、諸手続をやり直すのが面倒。

【ステップ3】

• 対策によってリスクはどれだけ低下するのか。検討中の対策は、「インターネットでカード番号を送らない」ということ。
• ハッカーはデータベースから、カード番号をまとめて盗み出す。財布に入っているカードの番号はすでに盗まれているかもしれない。郵便だろうが電話だろうが、カードで買い物をすれば同様のリスクを負う。ハッカーは、1人1人のカード番号を盗むような手間はかけない。方法による違いはない。

【ステップ4】

• 対策によって、新たにもたらされるリスクは「何もない」。

【ステップ5】

• 対策にはどれほどのコストとどのようなトレードオフが付随するか。インターネットでの買い物は簡単で便利。安いことも多い。このメリットを手放すのは大きなトレードオフ。

【結論】

• インターネットでクレジットカードを使わないという対策は、実行する価値がない。
• ステップ3で検討したように、この対策ではステップ2のリスクが軽減されない。

　この例は米国のものですが、例えばJCBカードの保証制度では「利用者に重大な過失がないと判断した場合には不正使用による損害を補償する」としているので、日本でもあまり違わない結果になるでしょう。

　わたし自身も、カード会社の補償の存在によって、リスクを低めに評価しています。普段店舗でもよくカードを使っているので、インターネットだけでカードを使わないという選択はしません。何より、決済の手間がいらないカード払いの便利さを手放せなくなっています。

　「カード会社に重大な過失として判断されてしまう」というリスクは気になりますが、わたしの普段の使用では重大な過失はないと考えているので、日常的にカード決済を利用しています。

セキュリティは何を目指すべきなのか

　セキュリティには正解というものがありません。というのは、どこまでセキュリティを高められるかは、どこまで犠牲にしていいと思うか次第なのです。そして、セキュリティに関する意思決定には、必ず、セキュリティ以外のことが絡んできます。トレードオフは極めて主観的なものも多いので、おのおので判断する必要があります。

　本書でたびたび登場する実例をあなた自身も検討していくことで、セキュリティ対策を分析、評価するトレーニングを積むことができるようになっています。

　どんなにしっかり設計されたシステムでも失敗が起こります。これは人類の歴史で繰り返し証明されていることです。「不可能」とか「絶対」といった言葉はセキュリティに無益なので、100％安全とか、決定的な手段だとかいわれることがあったら、このことを思い出してください。また、攻撃方法や、対策を無効にしてしまう方法は日々進歩しています。攻撃側、対策側、両方における技術の進歩に応じて、検討し直す必要があります。

　ブルース・シュナイアー氏はいっています。「セキュリティは終わることのない作業だ」と。