2024.05.08

【書評】情報セキュリティの敗北史 ~脆弱性はどこから来たのか~

  • IT研修
  • 情報漏洩
  • ハッキング
  • IAM
  • CTEM
  • IT
  • 人工知能
  • 情報セキュリティ
  • 生成AI
  • 約5分で読了
SHARE
【書評】情報セキュリティの敗北史 ~脆弱性はどこから来たのか~
インプットポイント
  • 情報セキュリティにおいて、完璧な『安全』というのが如何に難しいものかがわかる
  • システム上のセキュリティ意識だけでなく、私たちの「脳」まで、ハッカーに狙われている理由がわかる

2024年2月27日、ガートナージャパンより、「2024年のサイバーセキュリティのトップトレンド予測」が発表された。その中のキーワードとして、「生成AI 」「セキュリティ意識」「継続的脅威露出管理 (CTEM)」「IDおよびアクセス管理(IAM)」等が挙げられる。これらの言葉は一見、最先端で専門的な表現のように見えるかもしれない。しかし、実はその多くが、1950年代に「タイムシェアリングが可能なコンピュータ(複数人が同時にアクセス可能なコンピュータ)」が登場した時からずっと、開発者やそのユーザーについて回る問題ということをご存じだろうか?

その呪いのごとく残り続ける情報セキュリティの課題について、YouTube「ゆるコンピュータ科学ラジオ」チャンネルでは、情報セキュリティ室とハッカーの構図を、漫画『鬼滅の刃』に例えてこのように表現している。「情報セキュリティ室は鬼殺隊であり、ハッカーは鬼。鬼殺隊はいつも、鬼に有利な暗闇の中で戦っている。」本書では、このような守備側劣勢の戦いが、何故、どのようにして始まったのか、そして今後はどうなっていくのかという点について、歴史を紐解きながら解説している。

書籍『情報セキュリティの敗北史』
出版社:白揚社
発売日:2022/10/12
著者:アンドリュー・スチュワート
翻訳:小林啓倫

【著者紹介、書籍の特徴】アカデミックな視点と実務者としての視点を併せ持つ著者が、「情報セキュリティ」の歴史を紐解きつつ、現状の情報セキュリティ分野とこれからの課題に一石を投じる。

今回ご紹介する書籍(『情報セキュリティの敗北史 ~脆弱性はどこから来たのか~』)の著者 アンドリュー・J・スチュアート は、投資銀行で情報セキュリティの専門家として働く一方、ロンドン大学キングス・カレッジに研究生として在籍し、情報セキュリティに関する論文を多数発表している。こういった経緯から、彼は、これからの情報セキュリティは、実務者、産業、アカデミアとの間で、積極的な情報共有が行われるべきとしている。

本著では、これまで情報セキュリティが抱えてきた問題が、歴史や政治経済、心理学的要因など多角的な視点で冷静に分析されており、情報セキュリティやシステム開発、ITに携わる人々には非常に読み応えのある一冊となっている。アメリカで、2022年に【Cybersecurity Canon Hall of Fame 2022 (サイバーセキュリティ書の殿堂) 】受賞を果たした書籍であり、情報セキュリティの歴史から、セキュリティの「安全」とは何か考えるきっかけとなる内容だ。

【目次と要旨】ITの発達に後追いする形で重要視されるようになった情報セキュリティ。その歴史は、終わらない課題の解決を追い求める技術者や研究者の道のりでもあった。

情報セキュリティの歴史は、IT発達の歴史と切っても切り離せないものだ。そのため、本著で紐解かれる内容も、コンピュータの登場、ITの軍事利用、ワールドワイドウェブの構築等、IT史上重要な出来事をフックにしつつ、その際、ITの歴史の裏ではどのような問題が起こっていたかを引き出す構成になっている。

以下は、各省ごとの要旨をまとめたものだ。ここでは概要しか触れることはできないが、本著では各章ごとに新技術誕生の表と裏が著述されているため、読み手側にとって、情報セキュリティ分野における問題の因果が非常に理解しやすい書籍となっている。

プロローグ 3つの汚名

1 情報セキュリティの「新次元」

1960年代後半から70年代前半にかけて、少数の学者や研究者が、「コンピュータの世界において、情報が守られる未来を創る」というアイデアを生み出した。それを背景に、今日の「情報セキュリティ」が生まれる。

2 研究者たちの期待、成功、失敗

最初のコンピュータ開発は、米軍がコンピュータにおける学者や研究者を集めたことで始まった。米軍は、コンピュータ利用の際に、機密情報とそうでない情報を分けて管理すること、そしてそれらを権限の異なるユーザーが同一のコンピュータで閲覧できることを求めていた。学者らは、これに応えようと開発を進めるが、システムが複雑になることで抜け穴が生じる点、システム上権限を分けても紙などの物理媒体を介せば機密情報が洩れる点などの問題に苦戦する。

3 インターネットとウェブの誕生、不吉な予兆

1957年、ソ連が人工衛星の打ち上げに成功したことで、米軍はコンピュータやプログラミングに対して、多額の予算を研究開発につぎ込み始めた。「通信ネットワーク」の構築に開発研究が注力される中、パケット通信という考え方と電子メールが誕生する。この頃には、コンピュータが商用利用されるようになっており、個人で電子メールを送信できる環境が整うようになっていた。そのような中、1988年、コーネル大学のコンピュータ内に、電子メールを通じた「コンピュータウィルス」による感染が発見される。

4 ドットコム・ブームと魅力的なフィードバック・ループ

1999年から2000年にかけて、ワールド・ワイド・ウェブの普及によるITバブルが起こる。これにより人々はウェブを通してコミュニケーションを図り、娯楽を享受し、買い物等もできるようになった。一方で、複雑化したウェブプログラムには多くの脆弱性が認められ、それを利用する形で「ハッカー」が登場するようになる。ここから、ハッカーとウェブセキュリティの専門家によるいたちごっこが始まった。

5 ソフトウェアセキュリティと「苦痛なハムスターホイール」

ITバブルの間に生まれたセキュリティ対策は、ハッキングの危険性が非常に高いものだった。というのも、開発されたプログラムに脆弱性発見のためのテストをし、発見された問題に対して対策を打つ、この作業を永遠と繰り返すような後手のセキュリティ対策だったためだ。各社がセキュリティ対策にあえぐ中、2002年に、ビルゲイツが、「新しい機能を開発するよりも、セキュリティ問題に解決に注力せよ」という主旨のメールをマイクロソフトの全社員宛てに送る。

6 ユーザブルセキュリティ、経済学、心理学

セキュリティ対策を意識したソフトウェアの開発が行われるにつれ、ハードウェアの方にもその意識が根付くようになった。IT機器やその周辺システムに対するハッキングが難しくなったハッカーたちは、デジタルでない「人間の脳」に意識を向けることになる。そして2003年には、「フィッシング」という新しいタイプの攻撃が言及されるようになった。

7 脆弱性の開示、報奨金、市場

ソフトウェア、ハードウェアのセキュリティ脆弱性が見つけにくくなったことにより、脆弱性発見の価値は、かえって高まることになる。2016年には、とあるハッキンググループが特定のセキュリティ脆弱性を狙うプログラムを競売にかける等、ハックした情報そのものに貨幣価値が付くようになった。また、IT企業でも、脆弱性を見つけたハッカーに報奨金を与える等したことで、ある種の情報セキュリティ市場が生まれる。

8 データ漏洩、国家によるハッキング、認知的閉鎖

今日では、情報セキュリティの脆弱性抑制は、ある程度技術を向上させ、堅牢なものになりつつある。しかし、特定の企業等をハッキングすることで起こる「データ漏洩」、国家間の情報戦争による「国家のハッキング」、情報を取捨選択することで起こる「認知的閉鎖」という3つの状況から、十分な効果を発揮できてはいない。

9 情報セキュリティの厄介な本質

情報セキュリティの分野全体に存在する問題を一度に解決できる「賢者の石」は存在しない。というのも、情報セキュリティの分野は非常に広く、各分野の専門性も非常に増してしまった上に、「『何かが安全である』とはどういうことか」といった基本的な定義も明確に定めることが非常に困難だからだ。

エピローグ 過去、現在、あり得る未来

過去を振り返ると、どれだけ技術が発達しようと、既に情報セキュリティ史上発生したことのある問題が、幾度も学者や研究者の頭を悩ませてきた。情報セキュリティ分野で脆弱性の抑制を実現するためには、いくつかの要素が必要であるが、「歴史を振り返る」ということも非常に重要な要素となる。情報セキュリティ分野でも、歴史から洞察を得て自分の常識を取り払い、発生する数々の問題に潜む本質的な課題を解決しなければならないのである。

【感想】「これをやっていれば安全」なんてものは無い情報セキュリティの現実を理解するとともに、使い手がセキュリティ問題を意識しなければ、より深刻な被害が出ることも再認識できる。

ネット上の情報を見ると、「本当に難しい内容だった」とする意見と「眠れないほど面白い」とする意見とで、極端に分かれる印象を受ける本書。こそれもそのはずで、本書の内容は、「情報セキュリティの教科書」と称賛されるほど、数多の文献に裏打ちされた根拠を用い、それゆえに専門的なワードの多い書籍になっているからだ。(参考文献の多さで言えば、約400ページある本書の内、20%に当たる約80ページが参考文献で占められているほどだ。)

当記事を担当させていただいた筆者も、近代~現代初期に当たる部分については、読み進めるのに時間が必要だった。しかし、2000年代に入ってからの展開はいわゆる「アツい」もので、IT技術発達の裏に潜んでいた問題が、バーチャル世界を飛び越えてリアルの世界に侵食していく様など非常に興味深く面白いものであった。

本書を読むと、日常生活におけるあらゆる情報セキュリティ技術が、先人の多くの失敗と知恵により、今のような形をとっていることが非常によくわかる。例えば、Windowsの自動アップデートや、パスワードの複雑化、ユーザビリティの強化等である。これらは、それだけでは情報セキュリティリスクを防ぎきれないが、包括的に取り組むことで、確実にセキュリティリスクを低減させることができるものなのだ。

また、最近の情報セキュリティ問題の要因には、不審なメールの開封によるウイルス感染や、機密情報などが入った記憶媒体の紛失等、個人のミスによるものが多くなっている。これらは、ソフトウェア、ハードウェアの開発側にはどうにもできない問題だ。そのため、情報やツールの利用者が、適切にそれらを扱うことでしか、防ぎきることができない。日常的にITを利用する私たちも、システム上のセキュリティ機能だけに頼らないという意識が必要であり、私たちの取る行動一つで、セキュリティ対策が泡となることも心に留めらければならないと改めて感じた。

マガジン編集部
マガジン編集部
この記事はマガジン編集部が執筆・編集しました。

Contact

ファーストデジタルの提供するサービスに関心をお持ちの場合には、ぜひ一度ご相談ください。
デジタルに精通したコンサルタントがビジネスの変革を支援します。

Recruit

ファーストデジタルは成長を続けており、やりがいのあるハイレベルなプロジェクトと
切磋琢磨できるチームメンバーがあなたのキャリアアップを加速させます。