セキュリティ投資モデルについて考えてみた

はじめに

最近セキュリティをネタにして、私たちからなけなしの公金を引き出そうとするベンダーの行為が目に余るので、一度この件について考えてみることにする。
ちなみに、このようなベンダーのことを私は「セキュリティゴロ」と呼んでいる。駆使するテクニックは単純で、社会心理学の用語でいえば「権威による服従」「社会的証明」を用いて不安を喚起させる、いわゆる霊感商法と同じである。ただ、これは私たちにも弱いところがあるのも事実で、一概にセキュリティゴロたちを責めることはできない。
まずは、私たちが正しい認識を持つことが必要なのだ。

セキュリティ投資レベルの定式化

セキュリティ施策を考える際、一般的にセキュリティの強固さと利便性は相反するものと捉える。つまり強固なセキュリティを維持するためには、ある程度の利便性は犠牲になるということだ。例えば情報漏えいを防ぐために、物理的にネットワークを分離することは有効だが、一方で分離したネットワーク間での情報のやり取りはできない(あるいは面倒な作業をしなければならない)という利便性の低下を受け入れざるを得なくなる。
そして、その総量はセキュリティ施策で保護すべき対象の価値と同等であるといえるので、次の式が成立する。これをリスクの大きさと言い換えてもよいだろう。なお、リスクマネジメントの観点から言えば、リスクの大きさはインシデントの発生頻度とインシデントの影響の積なのだが、ここでは追求しない。

AS = kSL × CV (AS:保護すべき資産の価値, SL:セキュリティの強固さ, CV:利便性)

ちなみに、係数 k を置いてるのは、この式の関係を単なる反比例とさせないようにすることが求められており、そのために用いられるのがセキュリティソリューション(アンチウイルスやファイアーウォール、IDSなど)であるということを意味している。つまり、セキュリティソリューションを導入することで、利便性をあまり損なわずにセキュリティの強固さを保つことができる。結果、反比例のグラフは上方に歪むことになる。

Fig-1図1.セキュリティソリューション導入によるセキュリティの強固さと利便性の関係の変化

この歪みの度合いは何かと言えば、セキュリティソリューションの導入効果に他ならないのだが、これも要素分解を試みよう。一般的にセキュリティソリューションは複数のラインナップが提供されている。処理能力や機能の数、信頼性などで廉価版、普及版、上位版などに分かれているわけだ。
ただし、厄介なことに提供価格の多寡が純粋にセキュリティソリューションの導入効果ではないことに留意しなければならない。また、ある課題を解決するために適用できるセキュリティソリューションの種類はひとつとは限らない。同じ費用を掛けても同じ成果が得られるとは限らないのだ。やれやれ、すなわちこの関数は未知である。

k = ?(Price) (Price:提供価格)

これらの式から言えること

自明なことではあるが、セキュリティ対策の一番のポイントは、ASすなわち保護すべき資産の価値をいかに低く抑えるかに尽きる。案外このあたりが軽視されており、無用な投資を招いているというのが実感である。自分にとって不要な資産は保有するべきではないし、不要か否かを判定できないのであれば、その資産を保有すること自体の意義も薄い。
しかし、どうしても保護対象となる資産を保有しなければならないケースもあるだろう。その場合、次に検討すべきは、CV:利便性の低減である。言い換えると、どこまで不便さを我慢できるかということだ。これも軽視されていることが多い。もちろん便利さを追求することは悪いことではないし、本来であれば利便性を向上させることは善とされる。ただ、漫然と利便性を高めることを望むのではなく、不便さの意義を理解してもらうことが大切なのだろうと思う。
また、セキュリティソリューションを導入する場合でも、その効果を比較することが必要だろう。これまで見聞きしている範囲で言えば、セキュリティソリューションの導入に際し、異なる複数の手段を検討することは少ない。セキュリティリスクが示され、「対応するソリューションはこれです」と半ば決め打ちのように提案されるケースがほとんどである。もちろんセキュリティゴロは、自社ソリューションを売ることが目的なので、他の解決策を提案するようなことはしない。買い手を視野狭窄に追い込んで落とすところが、霊感商法たるゆえんである。

見聞きしたできごと(あるいは妄想)

ここから先は、私が見聞きしたことを書いておく。間接的に聞いたものも含まれるので、その点はご容赦願いたい。
昨年度あたりから、自治体は番号制度(マイナンバー制度)のために情報システムを改修したり、施策を実現するための新たな仕組みを導入したりで、てんやわんやの忙しさである。この新たな仕組みのひとつとして、行政機関をまたいだ情報連携の仕組みがある。具体的には、中間サーバ、団体内統合宛名システムと呼ばれるシステムを自治体ごとに導入することになるのだが、情報連携するためにはこれらのシステムを行政機関にまたがるネットワーク(LGWAN)に接続させなければならない。なぜLGWANなのかは知らない。そこにLGWANがあったからかも。

Fig-2図2.中間サーバ、団体内統合宛名システムの接続

実はLGWANはマイナンバーのためのネットワークではない。防災情報や自治体間のメール、国が提供するシステムのインフラとして、これまでも運用されているものである。ここに「ちょっと取扱いに気を付けなければいけない情報」が流れることになるため、今までのような雑多な(失礼)情報と同じように流してよいのかという議論が一部の自治体であったようだ。そもそもLGWANはクローズドネットワークなので、そのセキュリティポリシの中で運用されている限りOKだと整理した(別に誤った認識ではない)ようだ。
次なる懸念として、雑多なシステムがLGWAN上で稼働しており、そのシステムを起点にして自庁内の団体内統合宛名システムに不正なアクセスが行われないのか、という議論も巻き起こった。

Fig-3図3.LGWANには他システムも接続している

実際、議論が巻き起こったのかは定かではなく、セキュリティゴロがこの時期に集中して提案資料を送ってきたので、それに触発されたのかもしれない。その提案資料には「LGWANと団体内統合宛名システムの間にサンドボックスを入れましょう」という記述があったので、おそらくサンドボックスを売りたかったのだろう。不正アクセス抑止ならば、ファイアーウォールでも、IDSでもいいのだが、なぜかサンドボックス。

Fig-4図4.サンドボックスを入れてみては?

実際、この効果を測ることは難しい。まだ中間サーバは存在しない。団体内統合宛名システムも稼働しているところはないだろう。それよりもマイナンバー自体まだ付番されていないのである。なぜ、このソリューションが効果的なのかを説明することは、私にはできない。
ということで、私が関与する行政機関ではこの決定を保留にさせた。本音を言えば導入する気はなく、全国一律のサービスインフラで対応に濃淡が出る仕組み自体がおかしいと思っていたので、これが問題になるのならば、この仕組み自体が稼働できなくなるだろうと思っていたのもある。(でも、ちょっぴり心配なので他の自治体の状況は確認させていたけど)
また、団体内統合宛名システムで保持する情報は極力最小限に抑えるような仕組みも検討した。
で、先日になってこの事柄に対する答えが出た。

Fig-5図5.VPNで接続するようだ

まぁ、そうだよね。ということで、国からVPNルータが提供され、これを使ってVPNでトンネリングをすることで、セキュアな通信を確保することになったようだ。こういう情報は早めに出せていればよかったのに、と思うこともある。
こうなると、セキュリティゴロにそそのかされてサンドボックスを入れてしまったところはどうするのだろう? といらぬ心配をしてしまう。もちろんサンドボックスは適用できる場面が他にもあるので、おそらく有効活用されることだろう。

なぜこうなってしまったのか?

やはり、マイナンバーを含む特定個人情報が管理に特段の配慮を求める情報である(とされる)ことだろう。
現時点で、自信を持って特定個人情報におけるAS:保護すべき資産の価値を定量的に示せる者はいない。この番号を使えばいろいろ便利になる(マイナンバーCMより)、けれども基本的に番号は一生変わらないとなると、番号に依拠した業務が無限に広がり、それに伴い番号が持つ価値(AS:保護すべき資産の価値)も増大の一途であるという誤解を与えてしまう可能性もある。行政機関の場合、情報の財産的価値だけでなく、組織としてのレピュテーションリスクもあるので、どうしても過大に見積もってしまいがちである。(気持ちはわかる)
また、特定個人情報の接触機会がそれなりに発生し、接触する場面が多岐にわたるところも心配の種を大きくさせている。その割には関与する可能性がある者(一般の企業も個人も含む)に向けた、取扱いに関する詳細な指針が示されておらず、情報不足、認識不足の状態が続いている。
セキュリティゴロが発注者の無知(情報不足)につけ込む土壌はそろっていたのだ。