今年は、前回掲載した通り、国内でしか使われていないアプリケーションの脆弱性を突く日本限定のゼロデイ攻撃が目立ち、単なるクラッカー集団の犯行というよりも、どこからかの依頼や要望を受けて起きたと推測されるインシデント(情報セキュリティ事件、事故)が多かったように感じます。
Anonymousによる私的制裁をはじめとしたハクティビズムの顕在化、国際的なサイバーテロといった話題もよく耳にしました。Edward Snowden氏による機密情報暴露も大きな話題でした。逆にビジネスとしてのブラックマーケットもモバイル分野の拡充を含め、ますます脅威の度合いを高めています。
こうした状況を受け、情報セキュリティの話題そのものに「正義と悪」というキーワードを絡めたり、対象が「正義」なのか「悪」なのかを考えさせたりといった話題の振り方も2013年は目立ったように感じ、アメリカでセキュリティのトレーナーから聞いた話を思い出しました。
アメリカに「SANS Institute」という機関があります。情報セキュリティ分野の調査や研究、トレーニング、教育機関として1989年に設立され、SCOREと呼ばれるプロジェクトの運営、米国連邦捜査局(FBI)と共同での脆弱性リスト作成や発表などの役割を担っています。
以前、このSANSにてインシデントハンドラー(事故対応チームリーダー)のトレーニングを受けましたが、中身の濃い充実したものでした。ここで言うインシデントハンドラーというのは、インシデントが発生した際の対応全体をハンドリング(制御、指揮)する者を指します。
このハンドラーの役割を刑事ドラマで例えるなら、スペシャリストに的確な指示を出す「捜査本部」の役割といったところでしょうか。DNA鑑定の専門家や監察医、ネゴシエーターや各捜査官などといったスペシャリストたちを適材適所に配置し、彼らが扱う特殊な機器や薬品などを調達します。このSANSのシニアインストラクターの言葉を良く覚えています。
「われわれのようなハンドラーは、残念ながらわれわれの子どもの代にもまだ存在しているだろう。だが、孫の代にはもう存在しない職種であってほしい。この仕事に関わる者は、強い意志(determine)を持つ者でなくてはならない。間違っても、安易なヒロイズムなどで関わろうとしてはならない」
誰もが安全に、安心して使えるように従事する職業は、消防や警察などさまざまな職種があります。これらに共通しているのは「利用する当事者からはまず見えない」仕事であるということだと思います。