Seishi Ono's blog

Fugaces labuntur anni. 歳月人を待たず

セキュリティ対策と人

私がインターネットに触れた20年近く前にはセキュリティという概念はほとんど存在しなかった。そういうことを心配する管理者はパラノイアと馬鹿にされたものである。当時のインターネットの利用者は一定のスキルを持っていたので、セキュリティ上の問題はエンドツーエンドで対応できたのである。1994年にインターネットが学術利用の制約から解放されたときにも、従来からのインターネットユーザは、「未熟な」ユーザが大量に現れて困ったものだと眉をひそめていたが、セキュリティ問題を深刻に考える人は少なかったように思う。

数年もしないうちに、かつてのインターネット利用の中心だった大学はあっという間に置いてゆかれて、セキュリティに対する「甘い」認識を思い知らされることになった、という印象が私にはある。

IPV6を規格に入れた人たちはやはり「古い」時代の人たちだったのであろう。セキュリティがエンドツーエンドで対応できた時代を懐かしんで IPSecを入れれば「新しい時代にはファイヤーウォールはいらないよ」などと喧伝していたが、残念ながらそういう技術では過去のインターネットの「栄光」は取り戻せなかったようである。IPSecを入れてもエンドツーエンドで悪意のあるユーザから攻撃されれば一溜まりもない。Winnyがそのことをちゃんと教えてくれている。

古くから(1994年以前から)インターネットに関わっている人たちは、セキュリティなんて考えたくないと思っている。しかし、今のインターネット技術と今の利用者という組み合わせでは、それは儚い夢に過ぎないと言ってよいだろう。

そういうわけで、私もこの15年の間セキュリティ対策とお付き合いしてきた。もっともお付き合いしてわかるのは、これは私のようにたいした技術を持たないシステム運用管理者にとってのほとんど唯一の飯の種だということである。いまやシステム管理でネットワークそのものに手がかかることはほとんどない。この15年を振り返ってみてやってきたことは、システム更新時にどのような新しい装置を入れるかということとセキュリティ対策に明け暮れてきたという感がある。

新しいシステム装置の導入は数年に一度しかないが、セキュリティ対策は24時間必要である。システム運用管理者は、セキュリティ対策をしなければ、時々壊れたシステムを修復するだけののんきなしかしあまりやり甲斐のあるとはいえない商売になりうる。

かつては「セキュリティなんて」と鼻を鳴らしていたような人たちが、国のIT補佐官になったりできるのもセキュリティのおかげであり、システムに大きなお金を取ってくるときの脅し文句もセキュリティ、セキュリティである。

誤解のないように言えば、セキュリティを維持することは、今日において大変重要な課題であることは、日々の運用をしているシステム管理者にとって強く実感することであり、方便のためにセキュリティを主張しているわけではない。しかし、システム管理側も利用者側も往々にしてあまりよく考えもしないでセキュリティを口にして、要らないお金や手間をかけようとし、あるいは反対に、面倒なことは何もしたくないというための口実に使うという機会は決して少なくない、私は思う。

情報セキュリティの歴史は高々20年に満たない。きちんとした科学的な技術として根付くには少し時間が足りていない。研究分野としてもセキュリティを強化するための多様な技術にはうんざりするほどの研究があっても、それを適切に適用するためのシステム工学的な見地からの研究は少ないように見える。この点は、私の知見が偏っているのか、本当に研究内容が偏ってしまっているのか、実のところわからないところがあるが、少なくとも私のような現場の人間には、欲しいものが届いてこない。

先のIT補佐官に就任した人たちも神の手のような技術を持っている人たちではあるが、インターネットを始めた人たちはたいてい権威主義的なシステム工学への反発がある。今やシステム工学なんてインターネット時代では化石になってしまっていて、それはインターネットを始めた人たちの決定的な勝利に終わったと私は思うが、そこで真剣に考えられてきた人と人の間でのシステムの有り様というものは、インターネットの中でも忘れてはならない問題だろうと思う。

私はシステム工学を面白がって横から眺めてきた人間なので、人々が何を考えてインターネットを利用し、どのような行動がどのようにインターネットに影響を与えるかを科学的に研究しなければ真のセキュリティ対策はできないのではないか、とずっと考え続けてきた。

しかし、これは私のような年寄りには手に負えることでもなさそうなので、人任せにするしかない。同じようなことを考えている私より優秀で若い人たちにがんばってもらわなければならない。