News & Views コラム：立ち飲み屋とインターネットのポリフォニー

メールマガジンで配信したインターネットに関するコラムを、このブログでもご紹介しています。2023年11月は、同月にInternet Week 2023を開催するにあたり、プログラム委員としてプログラム作りなどにご協力いただいた、NTTセキュリティ・ジャパン株式会社の林郁也さんにお書きいただいたコラムでした。人との関わり・つながりなしには、インターネットも成り立たない、ということを再確認する内容です。

立ち飲み屋で飲んでいると、いろんな人に会います。

「僕はアメリカ育ちだったんで、今の多感な時期の子供への過度な詰め込み教育には疑問があります。でも、それを妻に言うと発狂するんです……」と腕時計を気にしながら塾に子供を迎えに行く父親。「詰め込み？いいじゃないですか。どうせ時間あっても、動画眺めるかゲームしかしないでしょう？だったら勉強させたほうがいいんですよ」とあっけらかんと割り切る母親。田舎育ちで、遊びといえば近所の原っぱで野球ごっこみたいな原体験を持つ筆者は、一度は父親に共感したものの、母親の物言いにも共感してしまった。昔のように遊べるところなんて、今はないのかもしれない。

共通の前提やモノの見方の方向が違っていたりすると、一つの事柄にもそれぞれ異なる解釈が成り立つものですが、そこに発見があると楽しいですよね。そんなわけで、いろいろな人が出入りして、思ってもみない情報が、ぽんっ、と耳に入ってくることがある立ち飲み屋に、つい足を運んでしまうのです。

さて、筆者はWebアプリケーションの脆弱性ハンティング企画やASM(外形監視を用いたセキュリティ対策マネジメント)という、インターネットからやってくる脅威の影響を低減する営みをやっていたことがありますが、これらもモノの見方と深くかかわるものだと思っています。

守り手は、つい自分の気になるところを堅牢にしようと動きがちですが(それが悪いと言っているわけではありません)、攻撃者の視点で対象をインターネットから眺めなおしてみると、攻撃者にとってターゲットとなるのは、攻撃者から「見えて」「低コストで攻略できそう」なところ、という景色が浮かんできます。すると、そこがより危ないので優先的に対策していきましょう、という理屈が浮かび上がってくるわけです。もちろん対策のためには、見えているものが確かに自分のものであるかを判別するため、IT資産をしっかり把握していないとならないですけれど。

対策を考えていく上では、攻撃者の視点のほかにも、信頼できる他者の視点を得る、というやり方もあります。他者と交流することで、自分が十分と思っていた対策が十分でないと知ることになったり、逆に、自分はまだまだと思っていたことが、とても進んでいることだと気づくことも気づくこともあったりするのです。仲間うちでWebアプリケーションの脆弱性を発見してもらう取り組みもあって、最近だと複数の企業が学生さんに脆弱性を発見してもらうコンテストを催したりと、面白い仕掛けも出てきています。

そして、さらにこの延長線上の、多視点と集合知の成果として、優れたフレームワークが作られていたりもします。筆者がよく参照させてもらっているX.1060 (日本発のサイバーリスク対応のための組織フレームワーク)も、きっとそういう成り立ちなんじゃないだろうかと思います。こうしたフレームワークは、標準という視点で対象を評価することを可能とします。

こうして思いを馳せると、人が集まるって、すごいことだ！と改めて思えるのです。

おっと、そういえば、この11月「集まれ！インターネットワーキング！」というテーマでInternet Week 2023が開催されます。なんて素晴らしいテーマなんでしょう。ここで集まって気づきを得、帰りに仲間と立ち飲み屋に寄ってみるのもオツかもしれませんよ。

■Internet Week 2023
https://internetweek.jp/2023/

■筆者略歴

林 郁也（はやし いくや）

CISSP、情報処理安全確保支援士。1998年日本電信電話株式会社入社後、同社研究所およびグループ会社でのCSIRT運営を経て、NTTセキュリティ・ジャパン株式会社に勤務。日本シーサート協議会副運営委員長、TRANSITS(NCA)講師、東京電機大学CySec講師、情報セキュリティワークショップin越後湯沢実行委員、Internet Week 2023プログラム委員。