強いセキュリティをつくる、プロのマインドセットとは？

コンピューターよりセキュリティが先と聞いて、意外に思う方もいるかもしれませんね。セキュリティの語源は、心配から離れた状態を意味するラテン語から来ているそうですが、私たちの日常生活においても、防犯の意味でセキュリティという言葉を使うことがあると思います。端的に言うと、どこの世界でも悪い人間がいるので、その対策をしなければならない、ということです。野生動物は他の動物の食料を横取りしても誰かに怒られることはないので、人間が共存・繁栄するために社会というルールの中で何が悪いことかを決めてきたためと言えるかもしれません。

1940年代にプログラム内蔵式デジタル計算機が発明されて以降、計算機およびネットワークの性能が向上し、利活用が進んでいます。このコラムではデジタル技術と呼ぶことにしましょう。当初「情報処理」という言葉に示されるように、デジタル技術は「情報」を取り扱うことに主眼が置かれていました。人、もの、金と並ぶ第４の経営資源といわれることもあり、情報を活用することによりさまざまな付加価値を得ることができます。情報は重さも形もなく、簡単に複製できたり、瞬時に世界の裏側まで伝播したり、物理法則に従わないため、人類が有史以来、経験してきた物理的な資産の取り扱いとは異なるため、さまざまな仕組みが必要です。さらに情報を悪意のある人間から守るために、情報およびそれを取り扱うシステムの健全な状態を守る「情報セキュリティ」という概念が生まれました。

デジタル技術が発展すると、従来の機械的な制御をコンピューター制御に置き換え、高度な機能を追加したり遠隔操作したりすることが可能になってきます。そこで静的な情報でなく、より動的な「制御された状態」を守るセキュリティの必要性が高まりました。

デジタル技術は、世界中にネットワークを張り巡らせ、サイバー空間を発展させました。その結果、情報資産だけを守るのではなくサイバー空間を守る「サイバーセキュリティ」という用語が使われ始めました。

制御システムに対するセキュリティに対して「サイバーセキュリティ」と呼ぶことがありますが、両者は等価ではありません。また、ITとOTが対比して語られることがありますが、どちらも要素技術としてデジタル技術を活用している点は同じであり、OTの守るべき対象が、付加価値を生み出している「制御された状態」であることは正しく理解しておきたいところです。

さらにIoTの進化により社会インフラなどのデジタル化が加速するのに伴って、守る対象が我々のデジタル社会全体に広がっています。本コラムでは、情報セキュリティとサイバーセキュリティを包含してデジタル社会を守るという意味で、「デジタルセキュリティ」と表現することにします。

このデジタル技術の間断のない変化は、裏を返せば、新しい脅威が生まれ続けていることを意味します。良識あるエンジニアだけでなく悪意のある人間も最新のデジタル技術を学び、変化によって生まれた綻びを狙っています。この時に厄介なのが、デジタルセキュリティの非対称性です。すなわち全方位にわたって完璧に守らなければならない防御側に比べて、一点の脆弱性を突けばいい攻撃側の方が圧倒的に有利なのです。デジタルセキュリティ従事者は、攻撃者に負けずにデジタル技術を理解し駆使することにより新しい防御の仕組みを考え出し、実行することに尽力しなければなりません。

デジタル技術の進化においては、不連続な変化が思いがけなく起こります。現状の改善や効率化といった連続する変化が続く中、不随意にこれまでの流れを一新する変化が起きることがあります。例えば、パーソナルコンピューターの登場、インターネットの実現、クラウドコンピューティングの普及、スマートフォンの浸透、そして生成AIの出現です。こうした不連続な変化は、新しい市場を創出したり、業界を再編したり、社会構造までつくり変えますが、それに伴って従来のセキュリティ対策で対処できないスキも数多く生じさせてしまいます。

デジタルセキュリティ従事者は、不連続な変化により現状の対策の有効性が消失する可能性に注意を働かせる必要があります。不連続な変化に対しては、攻撃者に先んじて想像力をフル稼働して対策の改善に取り組まなくてはなりません。

いま私たちは、生成AIの著しい進展を目の当たりにしています。これこそ不連続な変化だと言えるでしょう。デジタルセキュリティのプロフェッショナルの皆さんは、この変化の本質を捉え、ビジネスに生じる脅威を洗い出し、とるべき対策を迅速に実行に移さなければなりません。

次回は、今回お伝えした世界観を踏まえ、セキュリティに不全が生じるのは一体どのような時か、考えてみたいと思います。