これって研究?広がるセキュリティのカバー範囲/佐藤周行
情報サーバが「正しく」運用されていることを示すには何が必要か?これに答えるのがコンピュータセキュリティ/ネットワークセキュリティに分類される数々の技術です。コンピュータサイエンスの側では、これらに関係するいろいろな理論やシステムが構築されました。ところが、最近ではコンピュータサイエンスの技術だけではどうも制御しきれない要素があることが認識されてきました。それがリスク評価であり、セキュリティポリシーであり、コンプライアンスです。でも、これって研究?
サーバといったって結局は人間が運用するものですから、特権を持つ人の全体像がつかめなかったり、管理者が卒業して無管理の状態になっていたりすればまずい状態にあることは直感的にわかります。「こういうまずい状態」にならないために、人間はさまざまな規則(セキュリティポリシー・実施規定)を作ったり、懲戒規定を作って人の抑止力に期待したりしてきました。また、どれだけの労力をどこに注力すればよいのかをあらかじめ評価する技術(リスク評価)を開発してきたりしました。これはサイエンス・エンジニアリングというよりは社会的な技術に属するものですから、どうもコンピュータサイエンスと相性が悪い。規則を作るのがいくら上手になったって、(それだけでは)学会で評価されるわけではありません。で、これって研究?という話になるわけです。答えは当然NO!かもしれません。でも、もう少し待ってください。
規則を作るには技術的な裏づけが必要です。もっと言えばコンピュータサイエンスの技術を使って規則を守ることを強制できるかどうかが規則の実効性の担保に必要です。 USBメモリを使って事務をすることを禁止したいのならば、 USBメモリが使えないシンクライアントシステムを導入しなければ効果は担保されないでしょう。許可のない情報にアクセスすることを禁止したければ、そういう情報はID/パスワードまたはそれより強い認証を行うサーバの上で管理するしかないでしょう。規則はやはりコンピュータサイエンスに立脚せざるを得ないわけです。
一方、技術的な担保には当然限界があります。ワンマン部長が人事権をかざして、本来アクセス権のない情報へアクセスしようとすることを阻止するにはコンピュータサイエンスだけでは足りません。制度的な担保はこのときにこそ必要です。情報セキュリティは、もはや人間の行動の統制とその制度的な担保なしではやっていけないところまできました。ならば、制度の構築や解析までセキュリティのカバーの範囲に含めるのが適切でしょう。
似たようなことは技術が社会基盤として機能し始めるときによく起こります。たとえば原発の運用では、人間が運用を行うことを計算に入れることが必須でした。セキュリティも社会基盤の一部になりつつある今、コンピュータサイエンスを軸とし、さらに「こんなの研究じゃない」と一見みえるものまで含めたより広い学問の体系に拡大することが必要になってくるでしょう。…だといいな
(佐藤 周行:情報基盤センター・准教授)