ブルース・シュナイア氏は暗号アルゴリズム「Blowfish」,「Twofish」の開発者として知られるセキュリティ研究者。『セキュリティはなぜやぶられたのか』,『暗号技術大全』など数々の著作がある。現在は英ブリティッシュ・テレコムでチーフ セキュリティ テクノロジー オフィサーを務める同氏に近年のネットワーク・セキュリティの傾向と対策について聞いた。

(聞き手は田村 奈央=日経コミュニケーション


セキュリティ・ベンダーなどの調査では,パソコンにウイルス対策ソフトすら導入していないエンドユーザーが一定数いることがわかっている。こうしたエンドユーザーには今後,どういった対策が考えられるのか。例えばISPが何かソリューションを提供すべきなのか。

英ブリティッシュ・テレコムのブルース・シュナイア氏
(写真:ピーター・ハウリハン)
[画像のクリックで拡大表示]

 ISPがネットワークの上流でエンドユーザー向けにセキュリティ対策を提供するというのは良いアイデアだ。技術的にはさほど難しい仕組みではないと思う。しかしコストがかかるため,ISPが積極的に対策を提供するとは考えにくい。

 セキュリティにかけたコストは,結局,エンドユーザーに課金することで回収するしかない。しかし,一般にエンドユーザーはセキュリティにあまり関心がないので,セキュリティが強固で高価なISPから,もっと安価なほかのISPのサービスに移行してしまうかもしれない。

 そのため,ISPによるエンドユーザーへの大規模なセキュリティ対策の導入を実現するには,法律を整えたうえで,官公庁が介入するなどして全ISPが一斉に実行するしかないと思う。現状では国際的にもそのような実例はない。しかし,将来的に可能性はあると思う。

セキュリティとコストについて教えてほしい。不況下ではセキュリティ・コストはまっさきに削られるだろう。そんな中,企業は何をどこまで守るべきなのか。

 セキュリティは時間,利便性,可用性を犠牲にして成り立つものだ。にもかかわらず,セキュリティの効果測定は非常に難しいという問題がある。そのため,短期的には,企業などでコストダウンの要求が高まって「リスクを背負っても構わないから,セキュリティ対策にかかるコストを削減しよう」という動きが出てくるかもしれない。しかし,企業はセキュリティ・コストを削減することで,信頼性など逆に失うものも大きい。

 それとは別に,一つ面白い動きがある。不況下では多くの企業が新しい機器を買えないことが多い。例えばサーバー・マシン,データベースやOSといったソフトウエアでも,古いものをそのまま使って,なかなか新規購入をしないのだ。そうすると古いものを稼働させるために,メンテナンス費用などを使うことになるのだが,ここにセキュリティ費用も含まれる。つまり,セキュリティは「新しいものを買う」よりも安価な代案になりえるのではないか。

代案としてのセキュリティとは何か。物を買わないということは,教育やポリシーの強化になるのだろうか。

 実際にはさまざまなソリューションの組み合わせになるだろう。ただし,私はセキュリティ教育にはあまり意味がないと思う。人は「その行為の意味が明確に見えること」しかやろうとしないからだ。したがって,システムが自動的にソリューションを実行する仕組みの方が上手くいくだろう。

DNSなどインターネットの基幹部分で使われている仕組みには案外,ぜい弱な部分がある。インターネットはセキュリティ上の拡張や,何らかのラディカルな改革が必要な時期にきているのか。

 2008年7月にDNSキャッシュ・ポイズニングが話題になったことで,改めてセキュリティを強化した拡張規格であるDNS SECが注目されている。そうした動きのことを言っているのだろう。

 確かに,インターネットに関して,ラディカルな改革が必要と主張している人もいる。しかしそれは,全体から見ればごくわずかな数だ。これだけ広く使われているネットワークを,一から新しく作りなおすのは現実的ではないからだ。技術的には難しくないかもしれないが,社会的,制度的には非常に面倒だと思う。私は「米国の税法や行政も一から作り直して良くしたい」と考えることがあるが,それが難しいのと同じことだ。

 結局は,既存のインターネット・インフラのセキュリティ機能を少しずつ拡張しながら使っていくしかないと思う。実際,IPv6のように,さまざまな新しい変化がインターネット上で起きている。こうした変化は,例えば「TCP/IPの登場」といった大きな出来事に比べれば小さいし,エンドユーザーの目からは見えにくい。そのIPv6にしても,1995年に登場してから10年以上たっているが,まだ広く普及するには至っていない。インターネットのように広く使われ,かつオープンなシステムでは,ラディカルな変化が起きるのは難しい。

現在,セキュリティ分野で個人的に高い関心を寄せているトピックを教えてほしい。

 心理学だ。まず,技術がどんなに発達しても,人間心理を悪用した攻撃は防ぐのが難しいという点がある。それに,実は技術には「人間がどのように行動するか」に大きく依存しているところがあるのだ。例えば,どんなに強固なセキュリティ対策も,人間が理解して,使おうとしなければ意味がない。そんな「セキュリティ技術と人間のかかわり」に興味がある。