Industry3.0 とセキュリティ (RSAトップがベンダーの営業姿勢を批判)


平成27年5月6日付日経新聞の小さな記事です。米セキュリティ大手RSAのアミット・ヨラン社長が、セキュリティ業界の営業戦略を批判したという内容です。現在は、特定の防御方法に過大な投資をさせるだけで、真のセキュリティ対策を提供していないというものです。

特に、IoTの時代は新たな脆弱性を生み、不確実な脅威が潜んでいるとも警告しています。ドア、電灯、自動車などがネットで自動操作されるシーンを考えれば、確かに空恐ろしい感じがします。筆者は、最終的に機械を信用していない(機械が嘘をつくという訳ではなく、故障するし、誰か悪意の第三者に操られる可能性があるという意味ですが。)ので、自分の安全に関わることでIoTに頼る気は全くありません。

ヨラン氏は、こうも言います。「不完全な製品で必要以上の安心感を抱かせている。ITセキュリティ市場は壊れている。」氏の発言は、かねてより筆者がセキュリティ・ベンダーに抱いていた疑念そのものです。そのベンダー側の人間が言うので、思わず「エライ!」とつぶやきながら、この記事を繰り返して読みました。ヨラン氏の発言はRSAのConference2015での講演の中で出たものです。

米国では、日本の数倍の予算と陣容でセキュリティ対策をしていますが、それでも大規模な情報漏洩やハッキング被害が続発しています。リテラシーの高い個人は、自衛に走りだしました。例えば、ネット取引でもデスクトップではなく、スマホで生体認証を使うとか、クレジットではなく被害額を制限できるデビットカードを使うとかです。それでも、POSオンラインが侵入されて、自分の信用情報が窃取されてしまう。相当な不信感と苛立ちが高まっているそうです。

ヨラン氏はこうした状況は技術的な問題ではなく、業界の考え方にあるとして5つのポイントをあげたそうです。その一つが、包括的で深いビジビリティが必要で、可視性が欠けたままでのインシデント・レスポンスという作業に止まる限りは、解決にならないということです。筆者もかねてより、セキュリティ・ベンダーに、「もっと全体的なリスクの所在とその影響を示し、個々の顧客の優先度に応じた対策の強度と費用を明示すべきだ。」と頼むのですが、回答をえたことがなく、しまいには「この人達はハッカーと協業しているのか?」などと悪態をつく始末です。ヨラン氏は、こうしたユーザーの希望をより深く汎用的に表現しています。

先日、セキュリティの専門家で大学などでも教鞭をとっている方の話を聞きました。印象的な写真を示してくれました。米軍の制服を着た専門家がズラっと並んでネットワークを監視している一方、若者がパジャマ姿でコーヒーを飲みながらアタックしているイメージ写真です。言わんとすることは、「一人の天才がいれば、相手が何万人だろうと勝てる。」ということであり、「誰もが開発でき、誰もが入手できるという意味で核兵器よりも始末が悪い。」ということのようです。

経産省の委託調査によれば、2014年の世界セキュリティ市場は、69,759百万$で日本は7,624百万$だそうです。世界の約11%です。世界と日本を比べると、IT市場が2、056B$対117B$(14兆円)、通信市場が1,655B$対208B$(25兆円)、ICT全体で3,771B$対325B&(39兆円)です。ICT全体で見て世界の8.6%ですから、それに比べると日本はセキュリティに力を入れていると言えます。ICT投資の2%前後がセキュリティ投資ということです。金融でもおよそそんな比率だと思われます。しかし、金融界、特に銀行界やクレジットカード業界では、不足感が強い。

それはなぜかと言えば、全体が見えず、どこまで防御できているかが判らないからです。経営陣にとっては、不足感よりも不信感の方が強い。この際限のない投資にどこまで付き合う必要があるのか。稼いでくれる従業員にどう説明したら良いのか、株主をどう安心させつつ投資を認めてもらえるのか。誰か教えてくれというのが本音でしょう。

金融庁など金融規制当局は、顧客向けネットワークのオープン化を推進しようとしています。民主党政権時は、韓国の電子政府を見習おうとしましたが、今の自民党政権はリトアニアのタリンを参照しているそうです。北欧や東欧諸国は、人口が少ないこともあり、サービス産業のICT化に熱心です。加えてドイツではIndustry3.0のように、製造業でも新たな革新を追求しています。少子高齢化のわが国が、主力であるサービス産業をICT革新するのは自然な流れというよりは、他に方法がないことは確かです。

その時のセキュリティのあり方は、国を超えての大命題です。しかし、金融界にその解を待つ余裕はなく、業界としてセキュリティのプリンシパル、マップ、ソリューションを先行して創る必要があります。まずは、少数でも天才を確保して、専門家の育成とコンソーシアムを組成すべきでしょう。個別金融機関が、インシデント毎にセキュリティ・ベンダーに頼ったところで、免責にも解決にもなりません。ベンダー丸投げが問題先送り(多くは増幅)に過ぎないことは、勘定系もセキュリティも同じことです。最近は、各国の警察も軍隊も、ハッカー集団に対して防御から攻撃に対策を移行しています。

                                  (平成27年5月7日 島田 直貴)