ITpro Special
週間WEEKLY ITpro Special ITpro

生体認証で変わるIT利活用 |齋藤ウィリアム浩幸氏に聞く 終わりのない「イタチごっこ」から脱却する! “後付け”とならないためのセキュリティ対策

齋藤ウィリアム浩幸氏に聞く 終わりのない「イタチごっこ」から脱却する! “後付け”とならないためのセキュリティ対策 内閣府本府参与 科学技術・イノベーション担当 株式会社インテカー 代表取締役社長 齋藤ウィリアム浩幸 氏。1971年カリフォルニア生まれの日系二世。暗号、生体認証、サイバーセキュリティの専門家。カリフォルニア大学在学中にI/Oソフトウェアを設立。2004年に会社をマイクロソフトに売却後、2005年からは拠点を東京に移し、インテカーを設立。コンサルタントやベンチャー企業への資金援助を行う。

サイバーセキュリティの問題は解決に向かうどころか、ますます深刻なインシデントやアクシデントを引き起こす重大な脅威となっている。その根本的な原因は、“後付け”のセキュリティ対策を繰り返してきたことにある。攻撃と守りとの終わりのないイタチごっこから抜け出すには何が必要なのか。国内外のセキュリティガバナンス&マネジメントに深い見識を持つ齋藤ウィリアム浩幸氏に聞いた。

サイバーセキュリティは全社的な経営問題に

 サイバーセキュリティは長年にわたるITの課題だが、ここにきて世間の見方が大きく変わり始めた。以前であれば、サイバー攻撃によって被害を受けた企業には、世間から同情が寄せられたものだ。ところが昨今では、批判の的にされるのは攻撃者よりもむしろ、みすみす餌食にされてしまった企業側である。

 セキュリティの脅威を認識できておらず、起こったインシデントに対して的確なリーダーシップを発揮できなかったCEOが解任されたり、そうした企業が消費者から突き上げられたりといった事態が、世界の至るところで起こっている。サイバーセキュリティに対してどのように向き合っているのか、企業の姿勢そのものが厳しく問われる時代となった。

 齋藤ウィリアム浩幸氏は、「そういう意味でも現在のサイバーセキュリティは、もはや情報システム部門だけで手に負えるものではなくなっています。米国企業などではCRO(最高リスク管理責任者)を置き、全社的・組織横断でとらえるべき経営問題となっています」と示唆する。

“設計”からセキュリティ対策を見直すべき

 そもそもサイバーセキュリティは、なぜ現在のような複雑なインシデントやアクシデントを引き起こす脅威になってしまったのだろうか。「根本的な原因は、“後付け”のセキュリティ対策を繰り返してきたことにあります」と齋藤氏は説く。

 元々ビジネス利用のことなど想定せずに構築されたインターネットの上で、企業はWebサイトやeコマース、クラウドなどのITインフラを次々に展開してきた。結果として個人情報や機密情報など、ますます秘匿性の高い情報が扱われることになった。「それをどうやって守っているかというと、依然として基本的な拠り所としているのはパスワードです。この仕組みをどんなに強化しても、サイバー攻撃とのイタチごっこから抜け出すことはできません」(齋藤氏)。

 また、本来のセキュリティ対策は、「堅牢性(安全性)」「コスト」「利便性」の三つの要素の最適バランスで考えるべきものだが、パスワードに代表される“後付け”のセキュリティ対策は、このバランスをどんどん歪な形にしてしまう。

 パスワードで「堅牢性」を高めるためには、できる限り複雑かつ無機的な長い文字列を設定すると同時に、システムごとに複数のパスワードを使い分ける必要がある。だが、それでは人間の記憶の限界を超えてしまい「利便性」は著しく低下してしまう。そこで巨額の「コスト」をかけてSSO(シングル・サイン・オン)のような仕組みなどを導入し、何とか問題を回避しているのが現状だ。だが、これも抜本的な解決策になっているわけではなく、多様化する攻撃に対して今後も新たな技術で対処していく必要が出てくる。

 危惧されるのは、こうした“後付け”のセキュリティ対策を繰り返しながらも、現在のネットワーク社会はM2MやIoTといった領域に踏み出そうとしていることである。

 「万が一、ウェアラブル機器や家電製品、自動車などのインターネット接続機器がサイバー攻撃を受けた場合、極端なことを言うとリスクが人命にまで及んでくる恐れがあります」と齋藤氏は警告する。

 また、いよいよ2016年1月から運用が始まるマイナンバー制度に関して、その極めて秘匿性の高い個人情報を取り扱うことになる企業や団体は、どうやってセキュリティを担保するのかという問題にも直面している。「これから新しく構築するシステムにも“後付け”で臨むのでしょうか。マイナンバー制度への対応を好機として、“設計”の段階からセキュリティ対策を見直すべき時期を迎えています」と、齋藤氏は強く訴える。