門林 雄基氏によるコラム、【サイバーセキュリティが損なわれる原因を理解する(1)】を公開

奈良先端科学技術大学院大学サイバーレジリエンス構成学研究室を立ち上げた門林 雄基氏による、コラム連載を開始。https://www.accelia.net/column/resilience/

アクセリア株式会社 2017年11月15日

第2回:サイバーセキュリティが損なわれる原因を理解する(1)

「サイバーセキュリティが損なわれる原因とは」
 前回のコラム (リンク ») ではサイバーセキュリティが世界共通の課題であり、皆さんの会社のオンラインでの商売の安心、安全にかかわる大事なキーワードだということをご紹介しました。安心、安全を具体的に考えるうえで、それが損なわれる原因を具体的に考えていくことはとても大切です。

 安心、安全が損なわれる、つまりサイバーセキュリティが損なわれる原因とはどういったものでしょうか。今回から数回程度の連載として、サイバーセキュリティが損なわれる原因について、あらためて解説してみたいと思います。


「サイバーセキュリティを損なわないために」
 サイバーセキュリティの安全性について考えるうえでは、まずサイバーセキュリティを分解して考える必要があります。サイバーセキュリティとは前回のコラムで触れたようにサイバースペースの安心、安全のことであり、サイバースペースはそれを構成するコンピュータ、ネットワーク、そしてそれを利用する人間がつながって、相互に情報をやりとりすることで出来ています。つまりサイバーセキュリティを損なわないためには、コンピュータ、ネットワーク、そしてそれを利用する利用者それぞれの安心、安全について、またそれらの相互作用における安心、安全について考える必要があります。

 コンピュータやネットワークの安全性について考えるとき、脆弱性、つまりソフトウェアなりハードウェアの脆さ、について考えることが一般的です。ソフトウェアについては、理想的には、脆弱性が全くない状態、つまり、どんなでたらめな入力を与えてもソフトウェアが正しく機能する状態、が望ましいのですが、いろいろな理由からソフトウェアの脆弱性は増え続けています。なおソフトウェア脆弱性に加えて、「設定の脆弱性」「プロトコル脆弱性」「ハードウェア脆弱性」そして「人間の脆弱性」があることを前回のコラムでも触れましたが、これらについてはcrash.academy のオンライン学習コンテンツで解説しています。このコラムでも、機会をみて解説することにしましょう。


「やっかいなソフトウェア脆弱性」
 ソフトウェア脆弱性は、とても厄介です。まず間違いを認めて、ミスがおきた箇所を修正して、テストもやり直して、納品した顧客にお詫びして、アップデートするタイミングについて協議して、等々、頭の痛い問題が山積です。そのため、ソフトウェア開発の現場での甘い誘惑は「なかったことにする」です。「誰も気づきやしないよ」「20万行もあるソースコードの1行だけでしょ」「外部から指摘されたら、そのとき考える」「インターネットにつながったシステムでは使わない前提だから大丈夫」「そんな不正な入力はめったに起きない」「そんな悪意のある入力をする奴が悪い」。。甘い誘惑を正当化する理由は、プライドの高い、頭のいいプログラマならいくらでも思いつきます。

 では、ソフトウェアを使う立場である残り大半の人たちは、どうすればいいでしょうか。ソフトウェア脆弱性の有無を検査することはもちろん必要です。これについては巷に情報が溢れているのでここでは詳しく触れません。いちばん厄介なのは、セキュリティ専門家が「これはソフトウェア脆弱性だ」と言っているのに、製造元が「いえ、これは仕様です」と言い張る場合でしょう。ソフトウェアの製造元としては「仕様です」と言わないと製品そのものの作り直しになって、膨大なコストがかかってしまう。セキュリティ専門家はコストなどおかまいなしに、現実に問題が起きているのだから「脆弱性だ」と指摘している。この場合、ソフトウェアやクラウドサービスなどを活用する立場としてはどう考えればいいでしょうか。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
(リンク »)


【門林 雄基氏のコラム】
・第1回:サイバーセキュリティに求められるバランス感覚 (リンク »)

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

アクセリア株式会社の関連情報

アクセリア株式会社

アクセリア株式会社の記事一覧へ

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。