2013年1月2日水曜日

新年あけましておめでとうございます

2013年がはじまりました。いきなり、農水省のウイルス感染やら遠隔操作事件の犯人からの新たなメールなどが話題になっていて、今年も(不遜かもしれませんが)退屈しない一年になりそうです。

昨年は、外国人による内部情報持ち出し事件あたりから始まって、霞ヶ関界隈、政党関連などを標的にしたサイバー攻撃、データセンタの大規模障害事故、領土問題にからんだサイバー攻撃、そして、大きな話題になった「遠隔操作」事件、それに隠れてあまり大きくは扱われなかった、ネットバンキングを標的とした暗証詐取ウイルス(これが、一番面倒な事件だったような・・・)やスマホ不正アプリ問題など、列挙にいとまがありません。また、あいかわらず、個人情報などを扱うサイトの脆弱性が放置されていて、そこから大量の個人情報が流出するといった状況も続いています。

一方で、サイバー犯罪とサイバー戦争(インテリジェンス)が混同され、後者に関する海外動向をもとに、偏った政策を進めてしまいそうな雰囲気も見え隠れしています。たしかに、事象だけを見れば前者と後者の差異はあまり大きくありません。ただ、少なくとも前者に対する対策ができないようでは、後者の対応などおぼつかないという点は強調していきたいと思っています。前者で最も重要なことは、何度も書いていますが、IT界全体でのセキュリティ底上げです。IT現場のそれぞれの分野で、最低限のセキュリティを基礎として位置づけなければ、どれだけ高度な対策も人材育成も砂上の楼閣になってしまいます。CTFもいいですが、それ以前に政策としてやるべきことは、かなり多いと思います。ぜひ、政治家も官僚も、そのあたりに気づいて欲しい物だと思います。

セキュリティはそれ単独では存在し得ません。それは、守るものがあってのセキュリティだからです。では、守るものはなんでしょうか。それは、国民の生活や安全、財産であったり、企業のビジネスや競争力であったり、すなわち、セキュリティ以前に我々が、もしくは日本がよりよくなっていくために必要なものなのです。決して誰かの立場やメンツを守るためのものではありませんし、ましてや責任逃れの道具ではありません。この「守る対象」を間違えると、セキュリティは、本来守るべきものを守れないだけでなく、それを阻害してしまいます。この現象は、残念ながら多くのところで見られます。これを正して、本来の形に戻さなければ、先に述べたようなIT全体のセキュリティ底上げなど決してできません。今、本当に必要なのは、それができる人材なのかもしれません。

様々な問題をかかえた日本のセキュリティ界ですが、今年も微力ながらその向上に寄与していきたいと思っています。