by Jun Takei, Intel Corporation TCGの役割は、世界を繋ぐデジタル情報通信基盤を安全に利用するためのツールを、標準化を通して社会に提供することにある。一方、政府や公共セクターの役割は、その基盤を安全に利用するために推奨される手段、方法の「選択肢」を社会に伝えていくことだと考えている。ある特定の技術のみを法律や規制で推奨すべきでない理由は、IT技術の進歩が非常に早く、法改正や制度の改変にかかる期間よりも早く技術が進歩してしまうためである。その結果、ルールが策定される時に適切な技術であったとしても、短い期間でその適性が失われ、推奨するには足らない技術となってしまう恐れがある。そのため、各国政府の作成する多くのサイバーセキュリティに関するガイドラインはできるだけ柔軟性を持てるよう民間との協力の上で記述がなされる場合が多い。 さて、このような産業界と政府の役割を考えていく中で興味深いことに気づいたので今回はそれについて記述してみたい。 過去数年間、サイバー空間を安全に利用するためにはセキュリティ対策が重要で、広く関係機関が協力をしつつ対応をしなければならないと、数多くの場で言われてきた。しかし、残念ながら脅威の増加に対し、十分なセキィリティ対策が施されたとは、どの国どの組織も未だ至っていない。これまでの対策はどちらかといえば、上流からの対策が主であったが、昨今の状況を見ると、利用者(消費者、政府機関、企業組織の全てを含む)レベルにおける認識の向上と対策が重要な課題となっている。過去の事例を見ると、利用者レベルにおけるセキュリティ対策がなされなければ、メディアを賑わす情報漏洩やサイバー攻撃による被害は減らないことに気がつく。サイバーセキィリティに関わる事故は、最も脆弱な部分が発端になる。利用者が適切な知識を持った上で利用をしなければ、そこが最も脆弱な部分となる可能性が高い。 では、利用者の意識と知識を上げるために、我々がすでに国際社会において持っている知見で活用できるものはないのだろうか。そこで気づいたのが、公衆衛生対策と、サイバーセキリティ対策の共通性である。国民が健康に暮らすために、多くの組織がそれぞれの役割を担い、いろいろな仕組みが社会の中に構築されている。公衆衛生においては、中央政府レベルから地方公共団体、企業、学校、そして家庭まで幅広く分担がなされており、それぞれの役割を明確にすることにより、最小単位である家庭レベルにまで役割と責任が広く認識されるようになっている。 一番簡単な例をあげると、「どの水は飲用可能で、どれはいけないのか」、すなわち、安全な水の見分け方、またはその入手のための知識を、ほぼすべての国民がある一定の年齢に達するまでには身につける。そして、もしも病気になった時にどのような対応をすればいいのかは、病気の度合いによって家庭内での対応、診療所に行くレベル、そして大病院に行くレベルと段階的な対応ができるように周知されている(日本は何でもかんでも大病院に行くことが問題となってはいるが)。また、インフルエンザのような伝染性の病気に罹患したことがわかれば、種類によって法や条例によって集団から隔離することも規定されている。 サイバー空間でも、利用可能な安全な無線LANなのか、クリックして良いwebサイトなのか、IT機器を安全に使うために心がけることは何なのか、もしも調子がおかしい時にはどうすれば良いのか、何かに感染した時にはどうすれば良いのか、誰に聞けば良いのか、これらは公衆衛生の基本知識同様に利用者が最低限、認識、理解すべきことと言える。この知識をいかに社会の基本知識として共有できるかが、現在直近の課題であると言える。先進国では当たり前の知識である、健康を保つための方法、健康を害した時の回復の方法は、市民として理解しておくべきことが明確で広く周知されている。その社会のメカニズムを的確に構築することで国民の健康は保たれている。これらの知識や仕組みを長い年月をかけて社会は実装してきた。この経験を現在の急速に進歩し複雑化しているIT環境に活かすことは出来ないのだろうか。そのまま当てはめることには無理があるが、この対比は利用者まで含めた関係者が果たすべき役割を明確にする一助にはなると考える。現在、多くの国がセキュリティ人材育成を目標にあげている。しかし、大事なのは専門家を増やすことだけではなく、自らを守れるユーザーを育てることなのではなかろうか。それらを両立して初めて安全な環境が構築できると考えている。 さて、ではTCGの役割をこのコンテキストの中ではどうなるのかを考えてみる。TCGは標準化によって市場での製品やサービスの相互接続性を担保し、その結果、市場に複数の選択肢を提供していると言える。私たちは今まで専門家を相手に活動を続けてきたが、もしかしすると利用者に向けての活動を始める時期に来ているのかもしれない。自動運転技術、スマートグリッドなどIoTの普及によってさらにシステムは複雑し、一層我々の生活の一部となっていく。この情報通信技術を産業界は安全に動作させる 仕組みを提供しつつ、利用者にとって何をすればいいのかを解りやすい伝える サポート体制を作ることが新たな我々の課題なのではなかろうか。
The post サイバーセキュリティ対策、本当に大事なことは何か? appeared first on Trusted Computing Group.
]]>