サイバー攻撃はなぜ増え続けるのか？『情報セキュリティの敗北史』試し読み

10/12（水）発売の白揚社新刊『情報セキュリティの敗北史――脆弱性はどこから来たのか？』より、試し読みをお届けします。

相次ぐ個人情報の大規模漏洩、アメリカ・中国・ロシアによる国家主導のハッキング、企業・病院を標的にして猛威を振るうランサムウェア…

IT社会の急速な発展の裏で、私たちの「情報」を取り巻く状況は日に日に悪化しています。数々のセキュリティ対策が打ち出されているにもかかわらず、サイバー攻撃による被害は増え続けているのです。
今日の情報セキュリティが抱える致命的な〈脆弱性〉は、どこから来たのでしょうか？

本書は、世界的投資銀行の幹部にして情報セキュリティ部門のトップを務める著者が、半世紀以上にわたるサイバー空間の攻防を描いた、情報セキュリティ史の決定版とも言える一作です。

アメリカで【Cybersecurity Canon Hall of Fame 2022 (サイバーセキュリティ書の殿堂) 】受賞を果たした話題作より、冒頭部分の「プロローグ 3つの汚名」全文をお届けします。

■　■　■

プロローグ　3つの汚名

　１９９０年代の終わり、オーストラリアに住んでいたジュリアン・アサンジは、フリーソフトウェアの開発に明け暮れていた 。彼がウィキリークスを立ち上げるのは６年後のことだったが、情報セキュリティに関する彼の知識はすでに確立されていた。それまでの５年間、彼はコンピュータをハッキングしたとして有罪判決を受けたり、若いコンピュータハッカーグループの活躍を描いた本の出版に協力したりしていた 。またアサンジは、商用のコンピュータセキュリティ製品を開発する会社を共同で設立していた 。
　
　彼は情報セキュリティに関心を持ち、いくつかの電子メールのディスカッションリストにも登録していた。その中に「インフォメーション・セキュリティ・ニュース」というメーリングリストがあり、そこには情報セキュリティに関する主要な報道機関のニュース記事が掲載されていた 。このリストのメンバーは、他にもさまざまな関心事を投稿したり、情報セキュリティについてメンバー同士で議論したりしていた 。

　２０００年６月13日、メーリングリストに１つのメッセージが投稿された。そこにはコンピュータセキュリティに関する研究のうち、最も早く発表されたものの１つへのリンクが貼られていた 。タイトルは「コンピュータシステムのセキュリティ管理」で、投稿者はそれを「すべての始まりとなった論文」と評していた。これを見たアサンジは、次のように返信した。「人類にとって悲しむべき日だ。これは肛門性格のパラノイド〔肛門性格とは、フロイトが主張した心理発達の５段階における２番目の時期「肛門期」に固執することによって生まれる性格で、強情や潔癖といった特徴を持つ〕のための機械化されたスキームだね。それを使えば、認可されていない予想外の創造的な行為を自動的に粉砕するという権威主義的な夢を実現することができるというわけだ 」。この返答は大げさで辛辣、おそらくは皮肉でもあったが、「情報は自由を求める」というハッカー文化の思想を支持しており、後にアサンジが残すことになる遺産の小さな一部となった 。

　しかしアサンジは間違っていた。情報セキュリティの研究は、社会に多大な価値をもたらしたのである。ネットにおいて、プライベートで匿名性の高いコミュニケーションを可能にするのは、セキュリティのテクノロジーと手法だ。それによって反体制派の人々は連帯し、政府による監視から身を守ることが可能になる。内部告発者は、企業や政府の不正や違法行為をより安全に暴露することができる。ウィキリークス自体、情報セキュリティの研究から生まれた技術や運用方法なしには成り立たなかっただろう。

　アサンジは、情報セキュリティを研究する取り組みを単に「白か黒か」で表そうとしたが、それは間違いだった。そこには明らかに、利益とコストの両方が存在するからだ。レオン・トロツキーは、「あなたは戦争に興味がないかもしれないが、戦争はあなたに興味がある」と言ったとされる。その意味するところは、自分に影響を与える可能性のある事柄を無視してはならないということであり、そして情報セキュリティの問題は、いまや日常生活の中にまで浸透している。最初のデジタルコンピュータの誕生は、コンピュータと情報セキュリティの両方の新時代の始まりを告げた。世の中の情報がますますデジタル化されていく中で、その情報を保護できることが最優先事項となっている。情報セキュリティの重要性は高まる一方だが、それを実現するための取り組みはまだ道半ばだ。情報セキュリティの重大な欠陥が常態化している上、それは深刻な構造的問題に根ざしている。

　知的財産や顧客の機密データの保護、情報セキュリティに関する法律に準拠していることの証明を目的として、さまざまなセキュリティ製品やサービスに数十億ドルが費やされている 。しかし数十億ドルを投じてなお、データ漏洩は頻繁に発生し、広範囲に及んでいる。２００５年、米国の百貨店ＴＪマックスの顧客１億人以上のデビットカードとクレジットカードの情報が、ハッカーによって奪われた 。２０１３年、ヤフーでデータ漏洩が発生し、30億人のユーザーアカウントの情報が流出した 。データ漏洩によって個人情報が盗まれると、個人や流出元となった組織に悪影響が及ぶ。

　世界的に見ても、コンピュータハッキングは、知的財産の窃盗、選挙の操作、スパイ活動などを目的として、それぞれの国家で研究、開発、利用されてきた。２０１０年に発見されたコンピュータウイルス「スタックスネット」は、核物質の生産に使用されるイランの遠心分離機を感染させ、損傷を与えることを目的として開発された 。同じ年、中国政府が大規模なコンピュータハッキングを行い米国企業から知的財産を盗み出したことを示す、強力な証拠が提示された 。さらに米国家安全保障局（ＮＳＡ）と英政府通信本部（ＧＣＨＱ）が、コンピュータと電子通信を国境を越えて広く盗み見るために、コンピュータハッキングの手法を用いていたことが発覚した 。

　データ漏洩とコンピュータハッキングという対を成す問題は、現代の情報セキュリティ分野が根本的な原因を解決しようとするのではなく、セキュリティ問題への「対症療法」の繰り返しに陥ることで、ますます深刻化している。これは、対応しなければならない新しい技術や新しいセキュリティの脆弱性が次から次へと出てくるというだけでなく、新しいものに対して人間がバイアスを持つためでもある。新しいものはファッショナブルであり、なにより望まれる。しかし流行に乗り遅れまいとする気持ちは、物事の本質を見極める機会を台無しにしてしまいかねない。バッファオーバーフロー〔コンピュータ上の特定の領域において、上限を超えた量のデータが書き込まれることで、その領域のデータが破壊されてしまう現象〕、フィッシング〔銀行口座番号やクレジットカード番号など、経済的価値のある情報を、対象者から盗み取ろうとする行為〕、ＳＱＬインジェクション〔アプリケーション上の脆弱性を利用して、データベースを操作する言語「ＳＱＬ」を読み込ませ、不正な操作を行おうとする行為〕など、現在のコンピュータシステムのセキュリティを脅かしているさまざまな脆弱性は、実は新しいものではない。これらを解説した記事が、バッファオーバーフローについては１９７２年に、フィッシングについては１９９５年に、ＳＱＬインジェクションについては１９９８年に発表されている 。情報セキュリティの分野における、この「認知的閉鎖」（人々が現実から逃避し、作り物の世界に引きこもっている状態を表す用語）は、現在を優先し過去を切り捨てるという状況をもたらした。その結果、不幸にも膨大な機会費用〔ある選択をすることで失ったものの価値のこと〕が発生してしまったのである。

　この３つの重大な失敗、すなわちデータ漏洩、国家によるコンピュータハッキングの利用、認知的閉鎖は、情報セキュリティの分野を特徴づける、明白な汚名だ。症状ではなく原因に向き合うことで、この３つの汚名を返上することができるが、そのためにはこれらがどのようにして生まれたのかを理解する必要がある。

　アサンジは、情報セキュリティに関する初期の研究を即座に否定したが、情報セキュリティ分野における課題は、１９７０年代に行われた基礎的な研究に根差している。この時代、少数の学者や研究者が、未来への道筋を示すアイデアを生み出していた。それらをもたらしたのは、ランド研究所などのシンクタンク、米中央情報局（ＣＩＡ）やＮＳＡなどの政府機関、ロッキード・ミサイル・アンド・スペースなどの防衛関連企業だった。

　彼らはテクノクラートであり、「コンピュータシステムは合理的で科学的な法則に従えば保護できる」という信念で結ばれていた。そしてこの取り組みに、知的な純粋さを持ち込んだ。彼らのビジョンは、安全と秩序を約束するものだった。しかし彼らは、自分たちの取り組みの核心部分に、最初から危険な欠陥があることに気づいていなかったのだ。その欠陥が、情報セキュリティ分野の発展と、現代における情報セキュリティの実現に大きな影響を与えることになる。

■　■　■

本書の紹介ページ

【目次】

プロローグ　３つの汚名

1　情報セキュリティの「新次元」
コンピュータの登場／ランド研究所

2　研究者たちの期待、成功、失敗
ウェア・レポート／ＣＩＡの３要素／「安全なシステム」とは？／秘密の通信

3　インターネットとウェブの誕生、不吉な予兆
電子メール／世界初のコンピュータウイルス／ＵＮＩＸの安全性とファイアウォール／ネットワーク脆弱性スキャナ「ＳＡＴＡＮ」

4　ドットコム・ブームと魅力的なフィードバック・ループ
ウェブの脆弱性／「ルート」による攻撃プログラムの公開／セキュリティ製品が抱えるジレンマ／善いハッカー、悪いハッカー

5　ソフトウェアセキュリティと「苦痛なハムスターホイール」
OSのセキュリティ／ビル・ゲイツのメモ／マイクロソフトはなぜ成功したのか／オラクルの誤算とアップルの躍進

6　ユーザブルセキュリティ、経済学、心理学
「なぜジョニーは暗号化できないのか」／騙されやすい人たち／パスワード問題／情報セキュリティの経済学／情報セキュリティの心理学

7　脆弱性の開示、報奨金、市場
ゼロデイ脆弱性／いかに開示するか／脆弱性の売買／アピールのためのハッキング

8　データ漏洩、国家によるハッキング、認知的閉鎖
個人情報の流出／米・中・露のハッキング戦争／偽りの現実

9　情報セキュリティの厄介な本質
結局、どのセキュリティ対策が必要なのか？／「賢者の石」は存在しない／本質的複雑性と偶有的複雑性／アカデミア・コミュニティ・産業界／いかに守るか／合理的な行動とは？

エピローグ　過去、現在、あり得る未来

謝辞／訳者あとがき／註／主要参考文献／索引

【著訳者紹介】
アンドリュー・スチュワート
世界的投資銀行幹部。
ロンドン大学ロイヤル・ホロウェイ校でMSc in Information(情報科学修士)を取得。
小林啓倫
1973年東京都生まれ。筑波大学大学院修士課程修了。システムエンジニアとしてキャリアを積んだ後、米バブソン大学にてMBA取得。外資系コンサルティングファーム、国内ベンチャー企業などで活動。著書に『FinTechが変える!金融×テクノロジーが生み出す新たな新ビジネス』(朝日新聞出版)など、訳書に『操作される現実』『ドライバーレスの衝撃』『テトリス・エフェクト』(以上、白揚社)『シンギュラリティ大学が教える飛躍する方法』(日経BP)などがある。

情報セキュリティの敗北史: 脆弱性はどこから来たのか