簡単に自己紹介をします。私は大卒後にシステムエンジニアとして就職し、グループウェアを中心に社内システムの構築や保守に携わりました。あるとき解説本を執筆する機会に巡り会い、何冊か経験した後にライターとして独立して現在に至ります。各種商用製品から標準やオープンソースで使われている技術、あるいはエンジニアのキャリアなどを通じて長らくIT業界を取材してきました。
しかしセキュリティというと「難しい」イメージで近寄りがたい分野でした。あるいはつかみどころがないと言いましょうか。
かつて私が抱いていたイメージですと、セキュリティはアカデミックな分野でした。暗号化方式がどうの。暗号鍵が何ビットで、などなど。数学の世界に近く、難解で実体が実体が把握しづらくイメージがわきませんでした。
あとレイヤの違い。セキュリティというと技術的にはファイヤウォールなどネットワーク層の話が多く、アナライザーで生のパケットを見る……なんて世界はアプリケーションやソフトウェア中心で歩んできた私にとってはやや遠い世界でした。また個人情報保護法が定められたあたりからは「コンプライアンス」なんて言葉も出てきました。こういうのは法律的、経営的な側面が強く、技術とはまた違う分野のような。
一方で「セキュリティ対策」として考えると、費用対効果が見えにくい領域です。どれだけ熱心に対策をしていても、そこから何かが生まれるというものではありません。対策をしていたことにより致命的なインシデントを未然に防げたとしても、起きなかったことは認知しにくいものです。
逆に対策をおろそかにしていても、結果的に何事も起きなければ問題にはなりません。くじ引きでたまたま「凶」をひかなかったかのような。不特定多数を相手にした攻撃なら運次第というところもあるかもしれません。結果的に何も起きなければ「なんだ、これでいいじゃないか」という油断も生じます。その後も大丈夫かどうかは保証がないのにね。
そんなこんなでセキュリティというのは難解なイメージで、範囲が広く、技術以外の要素もあり、とっかかりがいまいちつかめない領域でした。しかしDBオンラインの取材をしつつ、隣でセキュリティオンラインが新装開店したご縁でセキュリティの取材もするようになりました。昨年あたりからいろいろと学ばせてもらっています。難しいといいつつも、興味深い分野です。なんとなく性に合っているような気もしています。
そんな折り、セキュリティオンラインでキュレーターにならないかというお誘いがありました。正直、それにはさすがに……というか、びびりました。セキュリティに関してはハードルの高さがあるだけではなく、知識も経験も足りませんので。
そう思いつつも、勇気を出してお請けしてみることにしました。これまで通りセキュリティに関する取材と執筆をしつつ、キュレーターとしてこちらの週報を書くことがお役目として加わります。これからは取材と週報を通じてセキュリティに関して理解を深めていければと思います。
考えてみれば、セキュリティは難解かつ面倒でありつつも、誰もが常に意識を向けておく必要があるものです。そのためにはある程度のカジュアルさも必要かもしれません。昨今ではIPAがセキュリティの普及啓発のためにあれこれ工夫をこらしています。涙ぐましいほどに。少し前には学生向けに少女マンガでパスワードの普及啓発をしたポスターシリーズもありました。ご覧になりましたか?
▲独立行政法人 情報処理推進機構
「パスワード -もっと強くキミを守りたい-」より
すごいですよね。このキュンキュンな絵にコピー。しかも1枚では終わらず、たたみかけるように16枚も続くのです。無理やり「パスワード」を引き合いに出す強引さに違和感を覚えつつも、逆に引き込まれます。年代的にはポスターのターゲットではないのに(笑)、しっかり心がわしづかみにされてしまいました。
キュレーターの話があったときに、ふとこのポスターを思い出しました。セキュリティといっても難解な問題だけではなく、フォーマルなスタンスだけではなく、いろんなアプローチや視点があってもいいのかもしれません。強引かもしれませんが「こんな私でもセキュリティのキュレーターというのはアリなのかもしれない」と思うようになりました。もちろん週報は胸キュンなノリではなく真面目に書きます。どうぞご安心ください。
セキュリティの世界の攻防は日進月歩です。日々新しい攻撃や脅威が登場し、新たな防御策が生まれ、また異なる隙を突く攻撃が登場する……の繰り返しです。無限のいたちごっこを繰り返しつつも、本質やコツのようなものがあるかと思います。ここはいろんな専門家の方々におうかがいしていきたいです。
また取材するようになり感じているのは、近年サイバー攻撃に対しては遮断よりも被害の早期検知に目が向けられるようになってきていることです。つまり攻撃に対しては「全てブロックしよう」だけではなく、気づかないうちにすり抜けられているものもあるかもしれないという想定の上で「被害を早めに検知できるようにしよう」という方向に力が入れられるようになっていると思います。それだけ進入経路も攻撃手法も多様化しているため、遮断だけを目標にすることは現実的ではないということなのでしょう。
エンジニアからライターへと、技術を使う立場から伝える立場へと変わったときから専門家の知見をできるだけ現場のエンジニアに伝えられるようにと心がけてきました。対象がセキュリティとなっても同じです。セキュリティに関してはまだ不勉強なところが多いので、これからたくさん吸収していこうと思います。セキュリティ分野の皆様、どうぞいろいろと教えてくださいね。
