【インタビュー】形式に流れる日本企業のネットセキュリティ,危機に対する「DNA的欠損」 (危機管理総合研究所長 小川和久)[08/04/21]
1 :やるっきゃ騎士φ ★:2008/04/21(月) 11:07:28 ID:???
[1/2]
「日本のネットワーク・セキュリティは米国に比べて20年は遅れている」。このような
歯に衣着せぬ発言で警鐘を鳴らし続けてきた国際政治・軍事アナリスト,危機管理総合
研究所長の小川和久氏。2003年からは,政府・企業へのセキュリティに関する
コンサルティングも実施している。 RSA Conference Japan 2008の基調講演にも登壇する
予定の小川氏に,日本のセキュリティの問題点を聞いた。
--小川さんは以前,「ネットワーク・セキュリティに関しては,ドッグイヤーで言うと日本は
米国に比べて20年は遅れている」と発言されていました。そうした状況は今も変わっていませんか。
それは,2003年4-5月に米国視察に行った際に痛感したことです。そのときは,ネットワーク
・セキュリティに関する米国のキーパーソンみんなに会って聞き取り調査を行いました。以前から
「日本は遅れている」と考えていましたが,その仮説が証明されました。状況は,今ももちろん
変わっていません。いやむしろ,差は広がっているように思います。
理由は二つあります。一つはITに限らず,日本は目標が低すぎるということ。もう一つは,
縦割りで仕事をしようとするので,合格点の答案が出てきにくいということです。縦割りの
“たこつぼ”の中で採点をすると,それなりの点数は付けられます。しかし実際のネットワーク
・セキュリティは,ファイアウォールのレベルがどうのということではなく,物理的な
セキュリティも含めてトータルに守れるかという問題のはずです。
例えば,管理パスワードを盗むとなったら攻撃者は何でもやります。なりすましをやるかも
しれないし,オレオレ詐欺のようなこともやるかもしれません。ソーシャル・エンジニアリングの
世界です。また,専用線だって安全とは言い切れません。専用線が通っている施設の中には無人の
ものがあり,そこの警報装置を短時間でもアウトにできれば,中に入り込んでそこから
ネットワークに侵入する可能性だってあるわけです。
ネットワークだけでなく,セキュリティに関する意識が全般的に低すぎます。
--どこに問題があるのですか。
根本的な問題は,日本人の「DNA的欠損」でしょう。
日本は島国ですから,世界とかかわらなくても安全に暮らしてこれたという歴史からきている
ものです。危機に対するセンスが育ちにくい。そうした日本的価値観の中で,日本的な受験を
勝ち残っていい大学に行けた人が日本のトップエリートになっているわけですから,
官僚にしても企業のトップにしても,危機意識は足りないのです。
例えば,以前,こういうことがありました。これから企業のCEO(最高経営責任者)に就任
するであろうというような40代,50代のトップエリートの人たちに講義をする場があったの
ですが,その人たちは,電子メールの署名・暗号化などに使われる公開鍵暗号方式のPGP
(Pretty Good Privacy)を全く知りませんでした。「使ったことがない」のではなく,
「名前すら聞いたことがない」と言うのです。知っていた人はゼロです。米国では,企業の
幹部がPGPを使って暗号化メールを送るなどということはよくあります。この差なんですよ。
続きます。ソースは
http://itpro.nikkeibp.co.jp/article/Interview/20080417/299451/
「日本のネットワーク・セキュリティは米国に比べて20年は遅れている」。このような
歯に衣着せぬ発言で警鐘を鳴らし続けてきた国際政治・軍事アナリスト,危機管理総合
研究所長の小川和久氏。2003年からは,政府・企業へのセキュリティに関する
コンサルティングも実施している。 RSA Conference Japan 2008の基調講演にも登壇する
予定の小川氏に,日本のセキュリティの問題点を聞いた。
--小川さんは以前,「ネットワーク・セキュリティに関しては,ドッグイヤーで言うと日本は
米国に比べて20年は遅れている」と発言されていました。そうした状況は今も変わっていませんか。
それは,2003年4-5月に米国視察に行った際に痛感したことです。そのときは,ネットワーク
・セキュリティに関する米国のキーパーソンみんなに会って聞き取り調査を行いました。以前から
「日本は遅れている」と考えていましたが,その仮説が証明されました。状況は,今ももちろん
変わっていません。いやむしろ,差は広がっているように思います。
理由は二つあります。一つはITに限らず,日本は目標が低すぎるということ。もう一つは,
縦割りで仕事をしようとするので,合格点の答案が出てきにくいということです。縦割りの
“たこつぼ”の中で採点をすると,それなりの点数は付けられます。しかし実際のネットワーク
・セキュリティは,ファイアウォールのレベルがどうのということではなく,物理的な
セキュリティも含めてトータルに守れるかという問題のはずです。
例えば,管理パスワードを盗むとなったら攻撃者は何でもやります。なりすましをやるかも
しれないし,オレオレ詐欺のようなこともやるかもしれません。ソーシャル・エンジニアリングの
世界です。また,専用線だって安全とは言い切れません。専用線が通っている施設の中には無人の
ものがあり,そこの警報装置を短時間でもアウトにできれば,中に入り込んでそこから
ネットワークに侵入する可能性だってあるわけです。
ネットワークだけでなく,セキュリティに関する意識が全般的に低すぎます。
--どこに問題があるのですか。
根本的な問題は,日本人の「DNA的欠損」でしょう。
日本は島国ですから,世界とかかわらなくても安全に暮らしてこれたという歴史からきている
ものです。危機に対するセンスが育ちにくい。そうした日本的価値観の中で,日本的な受験を
勝ち残っていい大学に行けた人が日本のトップエリートになっているわけですから,
官僚にしても企業のトップにしても,危機意識は足りないのです。
例えば,以前,こういうことがありました。これから企業のCEO(最高経営責任者)に就任
するであろうというような40代,50代のトップエリートの人たちに講義をする場があったの
ですが,その人たちは,電子メールの署名・暗号化などに使われる公開鍵暗号方式のPGP
(Pretty Good Privacy)を全く知りませんでした。「使ったことがない」のではなく,
「名前すら聞いたことがない」と言うのです。知っていた人はゼロです。米国では,企業の
幹部がPGPを使って暗号化メールを送るなどということはよくあります。この差なんですよ。
続きます。ソースは
http://itpro.nikkeibp.co.jp/article/Interview/20080417/299451/
2 :やるっきゃ騎士φ ★:2008/04/21(月) 11:07:56 ID:???
-続きです-
[2/2]
--先ほどの“たこつぼ”縦割り主義からはどんな弊害が出ていますか。
日本企業のセキュリティは,ほとんどと言っていいほど形式に流れる傾向があることです。
形だけ整えて,それで終わってしまいます。形を作ることが目標になってしまうのです。
システムを組んだり,組織を作ったり,セキュリティ対策機器を買ったりしても,それで本当に
初期の目的を達成できるかをチェックしないと意味がありません。本来は,チェックして何が
起こっているかを常に補い,セキュリティ・レベルをどんどん上げていかなければならない。
それが日本にはあまりないのです。
それは,IT部門の予算で,IT部門の発想の範囲でセキュリティ対策を行っているからです。
「セキュリティ対策はCEOの仕事」ということをCEOが分かっていません。
先ほども言いましたが,ネットワーク・セキュリティは,物理的なセキュリティ対策,
ソーシャル・エンジニアリング対策が不可欠です。CIO(最高情報責任者)の果たす役割も
大きいですが,CIOだけではできません。CEOが「全部やれ」と言わないといけないのです。
セキュリティ対策は,「いくらお金をかけても,それがお金を生み出すわけではない」と言う
経営者がいます。しかし,そう言う経営者は,根本的に経営が分かっていないのではないかと
思います。「安全なくして繁栄なし」。会社の安全がなければ,企業活動はできません。
ですから,セキュリティ対策は必要最低限のコストなんです。
-以上です-
依頼を受けてたてました。
[2/2]
--先ほどの“たこつぼ”縦割り主義からはどんな弊害が出ていますか。
日本企業のセキュリティは,ほとんどと言っていいほど形式に流れる傾向があることです。
形だけ整えて,それで終わってしまいます。形を作ることが目標になってしまうのです。
システムを組んだり,組織を作ったり,セキュリティ対策機器を買ったりしても,それで本当に
初期の目的を達成できるかをチェックしないと意味がありません。本来は,チェックして何が
起こっているかを常に補い,セキュリティ・レベルをどんどん上げていかなければならない。
それが日本にはあまりないのです。
それは,IT部門の予算で,IT部門の発想の範囲でセキュリティ対策を行っているからです。
「セキュリティ対策はCEOの仕事」ということをCEOが分かっていません。
先ほども言いましたが,ネットワーク・セキュリティは,物理的なセキュリティ対策,
ソーシャル・エンジニアリング対策が不可欠です。CIO(最高情報責任者)の果たす役割も
大きいですが,CIOだけではできません。CEOが「全部やれ」と言わないといけないのです。
セキュリティ対策は,「いくらお金をかけても,それがお金を生み出すわけではない」と言う
経営者がいます。しかし,そう言う経営者は,根本的に経営が分かっていないのではないかと
思います。「安全なくして繁栄なし」。会社の安全がなければ,企業活動はできません。
ですから,セキュリティ対策は必要最低限のコストなんです。
-以上です-
依頼を受けてたてました。
3 :名刺は切らしておりまして:2008/04/21(月) 11:12:21 ID:DibnE20E
nyを禁止すれば情報流出が防げると思っているような国だもの
4 :名刺は切らしておりまして:2008/04/21(月) 11:13:44 ID:clmb0jVP
KDDIの宣伝やってる子はそんなに重要なのかね
5 :名刺は切らしておりまして:2008/04/21(月) 11:16:30 ID:yWrNkKCG
でもあれだけ流出続いてまだnyやってるやつはアホだろ
6 :名刺は切らしておりまして:2008/04/21(月) 11:20:23 ID:clmb0jVP
windowsは、もともとすべて監視できるクライアント設計でしかない
個人で使う代物じゃないんだ、保全上は
むろん、眼薬入ってたらなにつかっても同じだが
個人で使う代物じゃないんだ、保全上は
むろん、眼薬入ってたらなにつかっても同じだが
7 :名刺は切らしておりまして:2008/04/21(月) 11:26:02 ID:Oj9l6C+6
この人は文系社会と理系社会がわかってないのかね。日本は文系社会だから。以上。
8 :名刺は切らしておりまして:2008/04/21(月) 11:26:41 ID:qdZjq0PK
文系は馬鹿だからな
9 :名刺は切らしておりまして:2008/04/21(月) 11:30:19 ID:i7+Acw2r
>>ドッグイヤーで言うと日本は米国に比べて20年は遅れている」と発言されていました。
これどういう意味? ふつうに言うと何年なの?
http://nikkei.hi-ho.ne.jp/secucon2007/07.html
これどういう意味? ふつうに言うと何年なの?
http://nikkei.hi-ho.ne.jp/secucon2007/07.html
10 :名刺は切らしておりまして:2008/04/21(月) 11:31:37 ID:5cAfpJ4H
オラ、このスレの流れにワクワクしてきたぞ・・・!
11 :名刺は切らしておりまして:2008/04/21(月) 11:36:36 ID:rlXTlLMX
店舗なんかの防犯ゲートとかセキュリティシステムなんかもそうだな。
システムを導入すりゃ万引きがゼロになると思ってる大海人皇子ばっかしだ。
セキュリティシステムは手段のひとつでしかないのに、それを入れれば完璧だと勘違いしてやがる。
問題なのはそれをどうやって運用していくかというソフト面なのに、
カネかけてハード入れたらもう終わりなんだよな。
ガワだけ取り繕ったらあとは知らん顔。
上から下まで全員建前でやってるからこうなる。
根っこは同じだよ。
システムを導入すりゃ万引きがゼロになると思ってる大海人皇子ばっかしだ。
セキュリティシステムは手段のひとつでしかないのに、それを入れれば完璧だと勘違いしてやがる。
問題なのはそれをどうやって運用していくかというソフト面なのに、
カネかけてハード入れたらもう終わりなんだよな。
ガワだけ取り繕ったらあとは知らん顔。
上から下まで全員建前でやってるからこうなる。
根っこは同じだよ。
12 :名刺は切らしておりまして:2008/04/21(月) 11:54:56 ID:AfODnTvM
箱物が大好きだから、作った後は考えていない。
13 :名刺は切らしておりまして:2008/04/21(月) 11:55:51 ID:xtCDK2Tl
アナリストが、「DNS的」って言っちゃだめだろ。
14 :名刺は切らしておりまして:2008/04/21(月) 11:55:51 ID:Z4RM2xc8
箱物大好きは理系?
15 :名刺は切らしておりまして:2008/04/21(月) 12:00:48 ID:5cAfpJ4H
エコバッグ推奨して、主婦と老人の万引き大増加みたいなw
16 :名刺は切らしておりまして:2008/04/21(月) 12:14:20 ID:o5ZlZiUc
17 :名刺は切らしておりまして:2008/04/21(月) 12:15:42 ID:o5ZlZiUc
理系的な事だけ出来ればいいという風潮が
理系を馬鹿にした
そんで文系に言い様に使われてる訳だ
理系を馬鹿にした
そんで文系に言い様に使われてる訳だ
18 :名刺は切らしておりまして:2008/04/21(月) 12:23:05 ID:EGasJV3u
なんでもコンピュータ化すれば自動的にうまくいく、
という考えは愚かなことだ
例えば、池田小では全生徒の上履きにタグを取り付けて
玄関の通過時刻を記録するという
そんなことする前に、先生が玄関に立て
最近では「正当なハッキング」による被害はわずかだ
パスワードを紙に書いて貼っておいたり
飲み屋にパソコンを忘れてきたり
Winnyを仕事のパソコンでするから漏れるだけなのだ
まず人間第一
機械に任せてうまく行くはずが無い
という考えは愚かなことだ
例えば、池田小では全生徒の上履きにタグを取り付けて
玄関の通過時刻を記録するという
そんなことする前に、先生が玄関に立て
最近では「正当なハッキング」による被害はわずかだ
パスワードを紙に書いて貼っておいたり
飲み屋にパソコンを忘れてきたり
Winnyを仕事のパソコンでするから漏れるだけなのだ
まず人間第一
機械に任せてうまく行くはずが無い
19 :名刺は切らしておりまして:2008/04/21(月) 12:47:51 ID:8ysoKvY9
>>3が的確すぎる
20 :名刺は切らしておりまして:2008/04/21(月) 12:56:30 ID:MeSW51tD
軍事アナリストってすげぇな。
21 :名刺は切らしておりまして:2008/04/21(月) 13:01:37 ID:QNmQ/ITZ
22 :名刺は切らしておりまして:2008/04/21(月) 13:13:25 ID:5kzSbkT8
DeNA的欠損だな
まるで危機管理がなってないモバゲー
まるで危機管理がなってないモバゲー
23 :名刺は切らしておりまして:2008/04/21(月) 13:45:15 ID:hWutSRs1
「ドッグイヤーでいうと」ってなんでわざわざ。
ドッグイヤーで20年ということは
普通に言えば3年も遅れてませんってことだろ?
ドッグイヤーで20年ということは
普通に言えば3年も遅れてませんってことだろ?
24 :名刺は切らしておりまして:2008/04/21(月) 13:49:24 ID:8ysoKvY9
>>23
追い付くには20年かかることを表すのにいい表現なんだよ
追い付くには20年かかることを表すのにいい表現なんだよ
25 :名刺は切らしておりまして:2008/04/21(月) 14:10:26 ID:NRyXE4u/
>根本的な問題は,日本人の「DNA的欠損」でしょう。
在日がこれだけ悪さしているのに、さらに参政権と人権擁護法案で保護しようとしてるもんな
どうしようもない
在日がこれだけ悪さしているのに、さらに参政権と人権擁護法案で保護しようとしてるもんな
どうしようもない
26 :名刺は切らしておりまして:2008/04/21(月) 14:13:24 ID:NRyXE4u/
さすが自衛隊少年学校出身者は言ことが違うね
27 :名刺は切らしておりまして:2008/04/21(月) 16:32:58 ID:Cm8/BdkH
>根本的な問題は,日本人の「DNA的欠損」でしょう。
>日本は島国ですから,世界とかかわらなくても安全に暮らしてこれたという歴史からきている
>ものです。危機に対するセンスが育ちにくい。そうした日本的価値観の中で,日本的な受験を
違うな。教育の問題、哲学、理念の欠如の問題だ。文系的な言い方を
あえてすればだがね。
無防備宣言に賛同する方々の盲目性と同じ問題だよ。
>日本は島国ですから,世界とかかわらなくても安全に暮らしてこれたという歴史からきている
>ものです。危機に対するセンスが育ちにくい。そうした日本的価値観の中で,日本的な受験を
違うな。教育の問題、哲学、理念の欠如の問題だ。文系的な言い方を
あえてすればだがね。
無防備宣言に賛同する方々の盲目性と同じ問題だよ。
28 :名刺は切らしておりまして:2008/04/21(月) 18:07:36 ID:EGasJV3u
「セキュリティの危機」を煽っては
いらないものを買わせようとするのはいかがなものだろう
たいがいのシステムではWindowsUpdateはしない
だから、もともとセキュリティも糞も無いのだ
不用意なOSのアップデートは、アプリの動作の不具合を起こす可能性があり、
そちらのほうが、はるかに危険だからだ。
反論があるなら、社内システムを先進で安全なVISTAに
明日朝一番で入れ替えてみてくれ
いらないものを買わせようとするのはいかがなものだろう
たいがいのシステムではWindowsUpdateはしない
だから、もともとセキュリティも糞も無いのだ
不用意なOSのアップデートは、アプリの動作の不具合を起こす可能性があり、
そちらのほうが、はるかに危険だからだ。
反論があるなら、社内システムを先進で安全なVISTAに
明日朝一番で入れ替えてみてくれ
29 :名刺は切らしておりまして:2008/04/21(月) 19:19:31 ID:6Oolahjv
>「いくらお金をかけても,それがお金を生み出すわけではない」
治安の悪い町に住みながら、玄関に鍵もかけないまま留守にするようなもんだとかすら考えないのか……。
治安の悪い町に住みながら、玄関に鍵もかけないまま留守にするようなもんだとかすら考えないのか……。
30 :名刺は切らしておりまして:2008/04/21(月) 19:28:28 ID:zdVwnKaa
自衛隊や日銀や警察の資料がWinnyで流出するような国だからねえ
機密ファイルを自宅にコピーするのを禁止したらどうですか?
機密ファイルを自宅にコピーするのを禁止したらどうですか?
31 :名刺は切らしておりまして:2008/04/22(火) 01:50:06 ID:Ht4ad2jh
32 :名刺は切らしておりまして:2008/04/22(火) 01:52:43 ID:tqlWNPdQ
>>27
だから「教育の問題、哲学、理念の欠如の問題」の原因が「島国」と言っているだけだろ。
だから「教育の問題、哲学、理念の欠如の問題」の原因が「島国」と言っているだけだろ。
33 :名刺は切らしておりまして:2008/04/22(火) 02:08:30 ID:5+cf4EzO
小川さんは優れた見識を持っている人だと思ってはいたが、
ネットの知識はどの程度のレベルなんだろう。
はるか昔読んだ著書では、軍事情報の多くは公開されている
一般の情報から得ることができると言っていたが。
ネットの知識はどの程度のレベルなんだろう。
はるか昔読んだ著書では、軍事情報の多くは公開されている
一般の情報から得ることができると言っていたが。
34 :名刺は切らしておりまして:2008/04/22(火) 02:33:04 ID:/GGbtsX6
35 :名刺は切らしておりまして:2008/04/22(火) 12:13:59 ID:7Ec76INB
>>33
はるか昔の著書を引き合いにだしたりするから笑われるんだろw
はるか昔の著書を引き合いにだしたりするから笑われるんだろw
36 :名刺は切らしておりまして:2008/04/22(火) 12:25:24 ID:bGB7DruR
コンピュータセキュリティーについては、先進的なことをやりすぎるとコストがかかりすぎる
あまり先進的なことは、湯水のようにお金を使える軍など政府関連でしか無理
民間はコストも重視しないといけないので、効果が認められ価格もこなれてきたソリューションを
導入してればいい
あまり先進的なことは、湯水のようにお金を使える軍など政府関連でしか無理
民間はコストも重視しないといけないので、効果が認められ価格もこなれてきたソリューションを
導入してればいい
簡単に暗号を解読されて空母撃沈されたり
司令官の乗った飛行機が待ち伏せで撃墜されたり
昔から変わってないじゃんw
司令官の乗った飛行機が待ち伏せで撃墜されたり
昔から変わってないじゃんw