FC2ブログ

PCで: 続・サイバー攻撃 官民で防衛、する気殆んどなし

 先日、日経新聞の報道を元に「サイバー攻撃 官民で防衛、する気殆んどなし」というのを書きました。まあ、ソースが日経(笑)というのもアレですが、その後も似たような報道が続いているので、やはりああいう方向で話が進んでいるのでしょう。
 今朝の読売新聞にも、それ関係の記事がありました。三面にある(三面記事という意味ではない)、以下の見出しのものです。
「サイバー対策 お寒い実態」

 小見出しが「省益優先、連携取れず」「官民の協力体制構築へ」などとなっているので、まあ何をか言わんやという内容です。総務、経済産業、警察、防衛からの出向者が「省益を優先させるばかりで、とても調整役を果たせていない」という状況らしいです。で、「主導権争いが始まってしまった」とも書いてあります。
 加えて、結局のところその「共有」した情報をどうするのかという技術的な話には全く触れてなくて、わからないから記事にできなかったのかそもそも検討すらしてないのか。どうもこの雰囲気だと後者っぽいですね。

 まあ、その辺りは前に色々書いたので、もう今更言うこともありません。
 ただ、この記事には続きがあります。そこの小見出しはこうです。
「「隠す文化」変えられるか」

 もう何と言うか、ここまでくると、「皆さんお笑い関係のお仕事ですか?」と聞きたくなってきます。

 これまでにも紹介してきた通り、情報収集(だけ(笑))を進めようとしているわけですが、それが進まないことに文句を垂れています。
 ちょっと長いですが、引用しましょう。

 だが、公表に対する慎重論は根強い。読売新聞が、防衛省装備施設本部との契約金額が多い上位20社(2010年度)を対象に、過去、標的型攻撃を受けたことがあるかどうかを聞いたところ、「(何らかの攻撃を)受けた」(5社・グループ)、「受けていない」(7社)との回答のほか、5社が「攻撃の有無も含めて回答を控える」とした。
 その理由として、「攻撃を公表することで、寝た子を起こし、狙われかねない」(建設機械大手)、「客への影響や不安を避けたい」(通信機器大手)とした。
 「(感染拡大を防止するためには)企業文化を変えないといけない」。情報セキュリティ政策会議の後、NISCの占部浩一郎・副センター長はこう指摘した。感染したことが問題なのではなく、被害を隠すことで拡大させることが問題という考え方は定着するのか。占部副センター長は、「感染のリスクがゼロということはあり得ない。起きることが当たり前となれば、情報公開に向けた考え方も育つ」とし、企業側に意識改革を求める意向も示した。


 もう、突込みどころが多すぎて何を言っていいやら。

 まず、情報収集が、一般論的な実態把握のためである場合。
 これは、集めた情報を、そのまま「公」開する必要はない。例えば、何社中何社がどうだった、こういうシステムのところではどうだった、というくらいで良い。上記の引用部分にある読売による調査はそういった段階の筈ですが、それに企業からあのような回答があるということは、調査結果がどこの企業なのか特定できる形で「公」開されるということではないでしょうか?
 そんなの、答えたくなくて当たり前。

 次に、収集するのが技術的な研究やその結果の指摘のための情報である場合。
 これも、事例として検討するのに企業が特定できる必要はなく、「どういう」システムは危ない、などといった研究ができて公開できればそれでいい。「どこの」システムが危ないなどということが皆にわかる必要はない。これは、「公」開ではなく関係者のみであったとしても言えることです。
 それともまさか、企業の情報システムの信頼度ランキング!とかやるつもりなのでしょうか? それはそれでいいのですが、ならば尚更、技術的な議論の欠如が気になります。

 最後に、事件が発生した場合。
 この場合は、記事にある通り、速やかに「いつ」「どこで」「何者により」「何が」「どのように」と言った詳細な情報を収集し、関係者(これは場合によっては広く一般)に周知する必要があります。
 そのためには、やはり事前の調査があるのが望ましいわけですが、その結果については上記の通り。

 指摘その一。
 公開でなければ隠蔽、という1bit思考をやめよ。

 指摘その二。
 大きな勘違いは、不安なのは企業だけではなく、顧客等の取引相手(これも企業かも知れませんが)でもあるということです。企業は、その信用を失うわけにはいかない。これが相互に関係し合って社会が出来上がっているわけです。

 指摘その三。
 情報を提供してくれない、と企業を責める前に、「自分達が信頼されていないのではないか」と考えてみてはいかがか。誰だって、情報を提供することにより益がなければ当然ながらわざわざそんな危険なことはしません。企業の信頼を得るための努力を、しているのでしょうか?

 「感染のリスクがゼロということはあり得ない」というのは、確かに間違いのない事実です。
 しかし、現状推察するに、その予防や事故対応のために企業に要求していることのコストが高すぎるのでは。これは金銭の問題ではありません。要求されていることに答えることにより発生するリスクが大きすぎるのです。毒性が消えていないワクチンのようなものと言えましょう。

 結局のところ、私の持っている情報は少すぎて実際に企業が考えていることまではわかりません。
 が、もしこれまでのいくつかの報道にあるようなことしか行われていないのであれば、私が経営者だったら、様子見を決め込むことでしょう。はっきり言って、情報セキュリティ政策会議そのものが全く信用にも信頼にも値しない。

 さて、「意識改革」が必要なのは一体誰でしょうか? 「文化を変えなければいけない」のは一体どこの社会でしょうか?

[追記:2011.10.11]
 情報セキュリティ政策会議のサイトから、次の文書を持ってきて読んでみました。
情報セキュリティ研究開発戦略」(PDF)
 で、印象を簡単に述べると、なんというか、あまり上記と印象が変わらないですね。従前のやり方とそう変わらないというか。
 もっとこう、なんというか、お得意の「縦割り行政の弊害」を情報機器上に導入してみてはどうかな、とか思うのですが。つまり、隠蔽や風通しの悪さはそのままマルウェアの動きも非効率化させるわけで。
 これぞ、この文書で述べている「リアルとサイバーの結びつき」なのでは(笑)。

コメント

非公開コメント

プロフィール

水響俊二

Author:水響俊二
水響 俊二 [MIZUKI Shunji]

暫定的に、18禁作品の感想などは裏サイトで書いています。
   

最新記事
最新コメント
カテゴリ
検索フォーム
リンク
RSSリンクの表示
月別アーカイブ
アクセス解析中