第45回コラム
「情報セキュリティ考」
情報アーキテクチャ専攻 教授 瀬戸 洋一
情報セキュリティ考
「スピード、スピード、これからの歴史は、今までの何倍何十倍のスピードで進む。起ち上がるのも、亡び去るのも、われわれの考えも及ばぬほど早い時代なんだ。若い時のひらめきには概して間違いがない。ひらめくことがあったら、それを深く深く、徹底的に掘り下げて考えてみろ。そして一つの結論に達したら、影響力の及ぶ範囲でいいから強く執拗に主張する勇気をもつこと。私にはこの勇気がなかった。」
これは、IT業界のリーダの言葉ではない。1945年8月22日 海軍大阪警備府司令長官 岡新(おかあらた)中将(当時55歳)の言葉である。今の時代に聞いても斬新な言葉である。一人ひとりが深く考え、信念をもって行動することが必要である。IT業界にも必要なメッセージである。IT技術の中でもセキュリティは、一番速いスピードで技術が動き、社会へインパクトも大きい。
社会基盤として使われているRSA暗号は、1977年にリベスト、シャミア、エーデルマンにより発明された。現代暗号が生まれて、ちょうど30年経った。人間で言えば、一応仕事は覚えた、これから組織の中核として活躍を始めるといったところであろうか。30年という短期間で世界を席巻するほど成熟し、社会の根底まで根を張る技術は、今までなかったのではないだろうか。しかし我々は、暗号について情報セキュリティについてどれほどのことを知っているのであろうか。
情報セキュリティを理解するための、私が好きなたとえに、「群盲、象をなでる」という話がある。目の悪い子供たちが象を触ってその感想を問うというインドの寓話だったと思う。
子供たちは思いおもいに象をとりかこみ、触れはじめた。一人の子供は象の耳にさわった。その大きな耳をやさしくなでながら、「象は大きなうちわのようだ」と思った。別の子供は象の足にふれて、「象は太い柱のようだ」思った。また別な子供は象の鼻にふれて、「象は太いこん棒のようだ」と思った。 象の腹にふれた子供は、「象は大きな壷のようだ」と思った。
先生は子供たちに「象というのは、どんな動物でしたか?」たずねた。子供たちは、それぞれ感じたことを話しはじめた。 「象は大きなうちわみたいなものです」と最初の子供が言った。 「違うよ。君はわかっていない。象は太い柱みたいなものだ」と二番目の子供が言った。 三番目の子供が、笑いながら二人の間に入いって言った。 「なんてばかなことを言ってるんだ。象はうちわのようでもないし、柱のようでもない。それは太くて長いこん棒みたいなものだよ」、また別の子供が口をはさんだ。「だれもわかっていない。象は大きな壷みたいなものだ。」 子供たちの議論は白熱して、しまいには口論になっていった。
先生が言った。「先生が象とはどんな動物か話してあげよう。みんなが言ったことは正しくもあり、また間違ってもいる。君たちのそれぞれが触れたのは、象という動物の一部分だ。そこから象の全体像を描こうとしても、それは正確なものではない。象はうちわのようでもあり、柱のようでもあり、またこん棒のようでもあり、壷のようなものでもある。そして、これらすべてをあわせたより以上のなにかだ。それは全体を見ることによってはじめてわかるのだ」
私は、情報セキュリティも同じようではないかといつも感じている。ある人に聞くと「数学の理論にもとづく暗号ですよ」、ある人は「リスクマネジメント、ITガバナンスですよ」、またある人は「法律や規格が重要さ」、またある人は「一番社会的に影響の大きいコンピュータウイルスですよ」、みな正しくもあるが、適切ではない。
上記の先生の言葉を使うと、「先生が情報セキュリティとはどんな概念か話してあげよう。みんなが言ったことは正しくもあり、また間違ってもいる。君たちのそれぞれが思いついたのは、情報セキュリティという知識の一部分だ。そこから知識の全体像を描こうとしても、それは正確なものではない。情報セキュリティは数学のようでもあり、法律のようでもあり、またリスクのようでもあり、コンピュータプログラムのようなものでもある。そして、これらすべてをあわせたより以上のなにかだ。それは全体を見ることによってはじめてわかるのだ」
我々が相手にしている「象」は、やっかいなことに、その姿が日々変化する。その実体をつかむことで、研究者、技術者、利用者は、果てしない努力を強いられる。
本学では、「象=セキュリティ」を多面的な観点で学び、特に社会人学生に効率的で有益な学習が可能なカリキュラム構成をとっている。まず、「情報セキュリティ特論」および「情報ビジネス特別講義1」にて、数学的でもありマネジメントでもある、また、法律にも関係するセキュリティを体系的に学ぶ、その後、組織の内部統制などに関係する学生は「情報セキュリティ特別講義1」でリスクマネジメントの本質、「情報セキュリティ特別講義3」では内部統制、事業継続など組織継続に必要な技量を学ぶ、ネットワークやデータベースなどシステム構築に関係する学生は、「情報セキュリティ特別講義2」で国際標準に準じたセキュリティのソフトやシステムへの実装の考え方を学ぶ。
また、講義のカリキュラムは、プライバシー影響評価やデジタルフォレンジック(電子鑑識)など、最新の話題も取り入れている。クラウドコンピューティング、スマートグリッドにおいてもセキュリティは重要であり、教員の研究成果は、適宜、講義へフィードバックを行っている。
本学の情報セキュリティ教育内容は、社会と連動して変化している。また、全体知を得ることを目的としている。私は英国の自然科学者チャールズ・ダーウィンの言葉『最も強い者が生き残るのではなく、最も賢い者が生き延びるでもない。唯一生き残るのは、変化できる者である』を信条に、チャレンジする気持ちを忘れずに大学院教育に取り組んでいる。