情報セキュリティの敗北史（スチュワート）

『情報セキュリティの敗北史: 脆弱性はどこから来たのか』2022/10/12
アンドリュー・スチュワート (著), Andrew J. Stewart (著), & 1

　相次ぐ個人情報の大規模漏洩、米・中・露による国家主導のハッキング、企業・病院を標的にして猛威を振るうランサムウェア……IT社会が急速な発展を続ける一方で、私たちの「情報」を取り巻く状況は日に日に悪化しています。数々のセキュリティ対策が打ち出されているにもかかわらず、サイバー攻撃による被害は増え続けているのです。
　今日の情報セキュリティが抱える致命的な「脆弱性」は、どこから来たのか？
　コンピュータの誕生前夜から現代のハッキング戦争まで、半世紀以上にわたるサイバー空間の攻防の歴史を追うことで、問題を明らかにしようとしている「情報セキュリティ史」の本です。
「プロローグ　３つの汚名」には、次のように書いてありました。
「この３つの重大な失敗、すなわちデータ漏洩、国家によるコンピュータハッキングの利用、認知的閉鎖は、情報セキュリティの分野を特徴づける、明白な汚名だ。症状ではなく原因に向き合うことで、この３つの汚名を返上できるが、そのためにはこれらがどのようにして生まれたのかを理解する必要がある。」
　本書は、過去を振り返って「なぜいまこのような状況になっているのか」を理解し、そこから今後の進むべき道を考えようとしています。
　コンピュータの黎明期から始まったセキュリティ問題への取り組みはどのように生まれ、なぜ失敗に終わったのか……世界初のスパムメールや世界初のコンピュータウイルスなどの情報セキュリティにまつわるエピソードが多数紹介され、それぞれがとても興味津々な内容で、勉強になりました。
　そして「９　情報セキュリティの厄介な本質」では、次のような多くの指摘に対して、本当にどうしていいのか分からず途方にくれるような状況にあることを、あらためて痛感させられました。
・情報セキュリティの問題は複雑で厄介なだけでなく、時間とともに変化する。また「『何かが安全である』とはどういうことなのか」という基本的な定義も欠如している。（「何をもって安全と言えるか」は状況次第で変わる）
・「どのアドバイスに効果があるかを判断する方法がないため、効果のないアドバイスを破棄することができず、すべて山の中に加えられてしまう。」
・「情報セキュリティの分野全体に存在するあらゆる問題を一度に解決できる、特定の領域でのブレイクスルーなど、見込めたことすらなかった。」
　……うーん、まさしくその通りですね。
　そして「エピローグ　過去、現在、あり得る未来」では、「プロローグ」で紹介された３つの汚名の原因などについて、次のように書いてありました。
　まず第一の汚名については……
「データ漏洩を防ぐのを難しくしているのは、構造上の問題がその根底にあるからだ。インターネット、ワールド・ワイド・ウェブ、UNIXオペレーティングシステム、TCP/IPプロトコルスイートは、セキュリティを考慮に入れて設計されたわけではない。また、C言語のようなプログラミング言語で、バグを含まない、つまりセキュリティ上の脆弱性を含まないコンピュータソフトウェアを書くことは難しい。（中略）
　こうした構造上の問題が脆弱なコンピュータを生み出しており、ゼロデイ脆弱性や、単にパッチが適用されていない既知の脆弱性を利用することで、脆弱性のあるコンピュータをハッキングできてしまうのだ。またハッカーは、フィッシングやソーシャルエンジニアリングなど、コンピュータを使う人間の弱点や傾向を利用することで、人間をターゲットにすることもある。」
　そして第二の汚名については……
「第二の汚名である国家によるコンピュータのハッキングは、いまでは見境なく行われるようになってしまった。国家はハッキングを使って、知的財産を盗み、スパイ活動を行い、選挙の結果を歪めようとしている。（中略）
　それぞれの国家は留まることを知らない軍拡競争に陥っている。」
　そして第三の汚名については……
「第三の汚名、情報セキュリティ分野における認知的閉鎖は、自ら招いた、気力を奪う傷だ。」
（注：認知的閉鎖とは、人々が現実から逃避し、作り物の世界に引きこもっている状態を表す用語）
　このような原因に対する著者の対策については、「訳者あとがき」に簡潔にまとめてあったので、以下にそれを紹介します。
「本書はこうした情報セキュリティの根本的問題を解決するために、さまざまな学術分野における知識や経験に学ぶことを推奨している。（中略）
　たとえば本書は、「経済学の分野からは、外部性の重要性、逆インセンティブを考慮する必要性、公共財としてのセキュリティといった考え方、農業の分野からはモノカルチャーの概念、保険の分野からはリスクマネジメントの概念と保険数理データなど、全体として多くの有益なアイデアが生み出されてきた」と指摘している。一方でこれらの概念は、まだ情報セキュリティ分野において十分に浸透・活用されていないともしており、今後より大きな効果をもたらすことに期待をかけている。
大げさな言い方をすれば、すべての人々や企業にとって重要なテーマとなった情報セキュリティに対しては、あらゆる分野から人々が参加し、英知を結集させてその対応を探る必要があるのだろう。」
　……情報セキュリティというのは、とても身近で切羽詰まった問題ですが、複雑なだけでなく変化する問題でもあるので、やはり、あらゆる英知を結集させる必要があると感じています。
　それにしても……最近のパーソナル・コンピュータもスマートフォンも、不必要な機能が標準装備されているような気がするのは、私だけでしょうか？
　スマートフォンはともかく、ほとんどすべてのパーソナル・コンピュータに、カメラや無線の機能が搭載される必要があるのでしょうか？　個人的には文書作成やデータ分析、描画などを主に行うパソコンには、カメラや無線はない方がセキュリティを気にせず仕事が出来るので、カメラや無線がない分、少し安くなっているものがあるといいな、と思います。普段はそれで仕事をして、必要な時だけインターネットにつながる（ＴＶ会議も出来る）「別の」パソコンを使うというように使い分けが出来る方が、一般人でも簡単にセキュリティを高められるような気が……。それなのに現状は、こういうローテク的対処をさせない方向へ爆走中なのが気になります。家電すら「インターネットにつながる」のが標準装備になりつつあるのですから……。
　この本では、「国家によるコンピュータのハッキング」の一つとして、アメリカのNSAの「クオンタム」というハッキングツールについて、次のように紹介されていました。
「クオンタムは、インターネット上のネットワークトラフィックを傍受することで、攻撃対象者のウェブブラウザがウェブページを読み込もうとするのを検知する。するとクオンタムは、そのウェブページのコピーを素早く作成し、そこに悪意のあるコードを挿入して、本物のウェブサーバーが応答するより前にターゲットのウェブブラウザに配信する。そしてこの悪意あるコードがウェブブラウザを攻撃し、コンピュータの制御を奪うのである。クオンタムがインターネット上で本物のウェブサーバーとの競争に勝てるのは、NSAが戦略的にサーバーを世界中に配置し、一種のシャドーネットワークを構築しているからだ。」
　……こういう「国家によるコンピュータのハッキング」なんて、防げる気がまったくしません。しかも本書で、歴史的に見てもセキュリティソフトもあまり信頼できるものではないことも知らされたので……せめて「物理的に切断」しておきたいと切望してしまいました。
　えーと……情報セキュリティの過去・現在（そして未来）を知る（推測する）ことが出来る『情報セキュリティの敗北史: 脆弱性はどこから来たのか』でした。とても参考になるので、みなさんもぜひ読んでみてください。お勧めです☆
　　　＊　　　　＊　　　　＊
　なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
＜Amazon商品リンク＞