先週末からランサムウェアによる世界規模のサイバー攻撃が話題となっています。
私の以前の勤め先も標的となってしまい、その対応で大変だったと聞きました。

セキュリティが最重要

私が開発していた電子政府システムでは、とにかくセキュリティが最重要項目でした。
セキュリティ事故が起きたら、電子政府システムに対する国民の信頼が損なわれ、システムを誰も使ってくれなくなる恐れがあったからです。

また、マスコミは視聴者の恐怖を煽ったり、政府を批判しようとするばかりで、事態を正確に伝えようとしないため、実害のない些細なことでも大きな問題に発展する恐れがあります。

ですから、セキュリティに関しては、どんな小さな問題も許されない状況でした。

頑固な専門家たち

プロジェクトには何人もセキュリティの専門家が参加していました。

セキュリティの専門家というのは細分化されていて、ハードウェア・セキュリティの専門家、OSセキュリティの専門家、ネットワーク・セキュリティの専門家、暗号の専門家、認証局の専門家など、守備範囲が狭い人が多いのに驚きました。

しかも、頑固な人が多いのです。おそらく自分の知識に絶対の自信を持っているからでしょう。(もちろん頑固ではない人もいました。)

プロジェクトを進めていく上で困ったのが、セキュリティの専門家の人たちがとにかくセキュリティ対策を厚くしようとすることでした。
セキュリティ対策を厚くすると、費用や開発期間、使い勝手に影響が出てきますが、彼らはそんなことはお構い無しです。

そして反対すると彼らは決まり文句を言います。

「セキュリティに問題が生じないと保証できますか?」

保証できるはずがありません。
未知のウィルス、未知の攻撃手法、未知の脆弱性など未知が前提の事柄に絶対はありえません。

これを各専門家が、自分の守備範囲について言ってくるので、調整は大変でした。

無責任な専門家たち

対策要否を判断するために、危険性を定量的に把握しようとしました。
例えば攻撃される確率や、攻撃の発生件数などです。
ところが、これに答えられる専門家はいませんでした。

仕方がないので、考えられる攻撃手法と防御できなかった場合の被害についてまとめて、お客様に説明しました。

これを行なっているうちに、セキュリティ対策が重複している箇所がたくさんあることが分かってきました。
ある攻撃手法についてネットワークでもOSでも対処していました。
重複して対策することでセキュリティは強固になっていくので、一概に無駄とも言えませんが、費用対効果をよく検討する必要があります。

このような地道な整理を行なって仕様を確定していったのですが、セキュリティの専門家と呼ばれている人たちがこれをやってくれないのかとても不満でした。

最近になっても、同じような状況が続いています。
攻撃手法が進歩し、その対策手法が多様化しているため、むしろ専門家の細分化は進んでいるかもしれません。
全体を見てくれるコンサルタント的な人も現れてはいますが、この人たちの力量を見極める必要があります。

結局、セキュリティに関しては、人任せにせず、ある程度自分で判断できるように勉強するしかないのかもしれません。