« IBM汎用機の復活? | Main | カカクコム 不正アクセスによりサイト一時閉鎖 »

2005.05.15

RSA Conference 「「セキュリティはビジネスの問題,技術の問題ではない」―Bruce Schneier氏」

 こんにちは、丸山満彦です。日経ITproを読んでいたら、目に付きました。RSAカンファレンスでのBruce Schneier氏の発表です。私がモデレータをしました。みなさんご存じの通り、Bruceさんは、暗号関係の技術者で日本でも時々メディアに登場していますね。でも、話を聞いて見て、う~ん。。。

 
■日経ITpro 2005.05.13
「セキュリティはビジネスの問題,技術の問題ではない」――Bruce Schneier氏

RSA Conference in Tokyo 2005
====
SS-1 現状打破によるネットワークセキュリティの確立

2005年5月13日(金) 17:25~18:15
ブルース シュナイアー
講演内容
セキュリティ業界でなによりも不思議なことは、セキュリティそのものがなおざりにされていることです。電子メールの暗号化が不十分な中、なぜファイアウォール市場が伸びたのでしょうか。企業はなぜ定期的にパッチを当てないのでしょうか。なぜソフトウェアの品質は良くないのでしょうか。これらの疑問を解く鍵はセキュリティとは全く関係のないところ、つまりすべてはセキュリティに関わる人々の動機付けにあります。経済や政治、法律のほうが、あるいは社会的制約でさえも、セキュリティ上の問題よりもはるかに重要なのです。本セッションではセキュリティに関する議論の真の姿を検証し、セキュリティに関する意思決定を行う際の現状について解説します。意外な結論に驚かれるかもしれません。
====

 私の興味は、アメリカで活躍している彼がセキュリティ問題をどのように考えているのかに興味があったのですが、彼が主張した「情報セキュリティはビジネスの問題である」という話は日本では新味がなかったと思ったわけです。

 日本ではISMSが広がっていることもあり、また、法とコンピュータ学会情報ネットワーク法学会といった学会で、情報法の重要性が訴えられているし・・・。

====
セキュリティがビジネスに直結すれば話は簡単だが,まず難しい。通常は,セキュリティはコストがかかるだけだ。そこで,「Regulation(法規制)」「Liabilities(責任)」「Competition(競合)」――以上3つを強調して,セキュリティの重要性を訴えるとよいだろう。
====
 Bruceさんは、この3つの中で特にLiabilitiesを強調したのですが、日本では経営の失敗に対する経営者の責任追及が甘いわけで、あまり機能しそうにもないわけです。
 
 でも、海外からの講演者の講演は非常に興味があります。視野が広がりますからね。今回、企業のセキュリティ対策を推進するためには、アメリカに答えを求めてもだめで、日本人自らが考えていかないとだめなことがわかった事が一番の収穫でしたね・・・。まぁ、当たり前ですが・・・

Schneier on Security




このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

 

|

« IBM汎用機の復活? | Main | カカクコム 不正アクセスによりサイト一時閉鎖 »

Comments

丸山さん

高橋です

私も、この講演を聞いていて、そのあと丸山さんにも話しましたけど、私の感想は、すこし違っています。

あと、2年もすれば、米国では、情報責任についての経営者に対する損害を認める裁判例の積み重ねで、かなり情報セキュリティに対するまっとうな基準ができうるのではないかという気がします。たしかに視点としては、日本と異なるものではないでしょというのは、そのとおりですけど、法的責任を執行させ、社会を統制しようという感覚は、日本には、ないところです。

ただ、このようなプラグマティックな感覚は、裁判所にいくらいっても、無理なので、講演やシンポの企画で、声高に叫ぶとかのほうがいいのかなと思っている今日この頃です。

セキュリティ業界次のキーワードは、「内部統制」というのがはっきりしたのも、RSAコンフェレンスでしたね。預言は、大当たりです。

Posted by: 高橋郁夫 | 2005.05.15 20:42

高橋先生、コメントありがとうございます。Bruceさんの意見がアメリカ代表の意見でもないのは承知ですが、他の米国人の話を聞いても、セキュリティ投資の適正額の算定は難しいという意見が多く、彼らも悩んでいるところがありそうです。ただ、リスクアセスメントをして、自らが経営判断として意思決定をした過程を説明できるようにしておくことで、一定の経営責任を果たすようにしているというのは事実です。でなければ、経営者(執行者)が取締役会で説明できず、責任を取らされることになりますから・・・
 ところが、日本では、多数の死者がでても経営者の責任が厳しく追及されていない状況で、少々の情報漏洩があっても経営者の責任が誰からも(取締役、監査役)追求されないだろうと、ちょっと悲観的になっています。
 株主代表訴訟も上限額を決めるケースが多いようですし・・・株主も会社の財産の株式を通じて持っているという感覚がなく、株が上がるか下がるかにしか興味がないようだし・・・
 ということで、日本では手っ取り早く法律の新設・改正という話が一番効果的ということになってしまい、それは、あまり幸せな社会ではないなぁ・・・と思っています。

 日本版サーベンスオックスリー法が検討されているようですが、米国でも多くの批判がある中で、日本が導入するメリットが見えてきません。内部統制の監査をする前に、日本の財務諸表監査の質を向上するのが先だと思います。監査報酬を米国と比較すると、明らかに日本は少ないです。もちろん、米国の会計事務所のサラリーや社員報酬は日本より高いのですが、その差では説明でききれ無い原因もありそうです。

Posted by: 丸山満彦 | 2005.05.15 23:09

丸山 様

夏井です。

マクロ的な見地からすると,ビジネスにおける情報セキュリティとは経営そのものになることは当然のことだし常識に属することだと思っています。CISSPの教科書などにもそう書いてあります。

これまでの日本の情報セキュリティ学が個々のイベントやプロセスなどにおけるインシデントを主体とするいわばミクロの部分だけを取り扱っていたために,見え難くなっているだけのことではないでしょうか?

システムを含むビジネスそれ自体のセキュリティを考えるマクロの立場では,経営者の判断それ自体が一番重要になります。これは,情報セキュリティの専門家がすることではないですね。

つまり,情報セキュリティ学それ自体が一つの岐路にさしかかっているということができるでしょう。

Posted by: 夏井高人 | 2005.05.16 13:58

夏井先生、コメントありがとうございます。

線路の傷をいくら調べることにより、車両が物理的にどのように転覆に至ったかを理解することができますが、線路の傷をいくら調べても、転覆するほどのスピードオーバーにいたった背景を理解することはできません。
 つまり、転覆した理由を把握し、その防止をするためには、少なくとも両方の理解が必要なのだと思います。
 どっちがより大切かというよりも、どちらも大切で、どのようにすればよりうまく機能するかということを考える事が重要なのだと思います。
 マクロ、ミクロ両方の視点が必要で、おそらくその両方を持ち合わせている人はほとんいなくて、また、その両方をつなげる人が不足しているのだと思っています。

 

Posted by: 丸山満彦 | 2005.05.16 19:55

丸山 様

夏井です。

本日,ある方と意見交換してきました。

企業経営者の中には,ミクロ・マクロの両方の視点をお持ちの優れた方もおられますね。

ただ,問題は,そもそも情報セキュリティの重要性を認識しつつも「何をすべきか?」が分からずに,詐欺的なコンサルタントの言いなりになってしまっているような経営者も存在することです。

また,理屈は分かっているのだけれども,現実問題としてちょっと詳しいだけの学生アルバイトにシステムのルートを任せざるを得ないような企業もあります。

更に小規模な自治体等では惨憺たる状況のところもあるやに聞いています。

要するに,落差が大きすぎるんですね。

情報セキュリティの教科書を何冊読んでも総合的な見地から書かれているものが非常に少なく,防御技術一辺倒のものもかなり多数見受けられます。

日本国のセキュリティ対策全体の問題かもしれないですが,ちょっと考え直したほうが良い部分がかなりあるように思っています。

公式の場では「偉い先生方」に恥をかかせるわけにはいかないので,今後は,非公式の場でどんどん私見を開陳し,実質的にみて私の考えを理解していただき,実務に応用していただけるような工夫をしていったほうが良いかなと考え始めています。

Posted by: 夏井高人 | 2005.05.17 20:02

夏井先生、コメントありがとうございます。企業(大企業)の情報セキュリティマネジメントのあり方とは違う視点になるかもしれませんが、IT社会における情報セキュリティのあり方というものを意識しなければならないのでしょうね。その際には、ユーザ、開発者、プロバイダーという切り口、行政、立法、司法といった切り口など、多様な面から分析、検討が必要となるでしょうね。

Posted by: 丸山満彦 | 2005.05.18 02:26

丸山 様

夏井です。

ITという切り口で情報セキュリティというものを考える場合,要点はいくつかあると思いますが,喫緊の課題は2つだと考えています。

1)縦割り行政の廃止

 情報ネットワークは業種・業態等と無関係に存在しているので,縦割りでは意味がない。
 例えば,大学はかなり大きなノードとなっていますが,文部科学省の所管であり電気通信事業者と関連のある総務省の所管ではありません。しかし,大学のネットワークシステムは商用ネットワークシステムの重要なノードにもなっているので横断的な対処が必要です。省庁間の所管業務の見直しが必要になるでしょう。

2) カタカナ英語使用の禁止

 情報ネットワークの管理者は飛行場の管制官と同じような機能を果たしています。しかも自覚していると自覚していないとを問わずグローバルな共同作業の中に組み込まれています。管制官と同じように,日本語ではなく英語だけで会話すべき時期が来ているように思います。とりわけ,情報セキュリティ関連の書籍では翻訳語やそのカタカナ英語表記が統一されていないためシステムの管理者間で会話が成立しないという問題が多発しています。この問題を解決する唯一の方法は,英語だけで考え会話するということになるでしょう。

かなり厳しい批判もあろうかと存じますが,この説を譲る気は全くありません。なぜなら,ネットワーク環境は連続した世界の中の一部であり,好きでも嫌でもその中で最も通用している最も標準的な手段を用いて会話を成立させるしかないからです。

Posted by: 夏井高人 | 2005.05.18 08:36

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference RSA Conference 「「セキュリティはビジネスの問題,技術の問題ではない」―Bruce Schneier氏」:

« IBM汎用機の復活? | Main | カカクコム 不正アクセスによりサイト一時閉鎖 »