1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 三輪信雄のセキュリティ・ブートキャンプ(前編)

三輪信雄のセキュリティ・ブートキャンプ(前編)

いたずら少年、日本のセキュリティを救う

元祖・セキュリティ界の貴公子といえば、この方、三輪信雄氏。 ネットワークセキュリティのパイオニア、株式会社ラックの前・社長であり、現在は物理的セキュリティとITセキュリティの融合を目指して、日々奔走していらっしゃるという三輪さんに、ご自身の経験を交えつつ、情報セキュリティ界の変遷を振り返っていただきました。キーワードは「いたずら」?

三輪信雄

三輪信雄氏

株式会社ラックにて、1995年より情報セキュリティビジネスを自ら立上げる。2003年株式会社ラック代表取締役社長就任、2007年辞任。現在は情報セキュリティコンサルタントとして情報セキュリティ対策事業を推進している。内閣官房情報セキュリティポリシーガイドラインWG委員を始め様々な委員を歴任。情報セキュリティ文化賞2005(個人)、経済産業大臣賞2005(ラック)などを受賞。著書に「セキュリティポリシーでネットビジネスに勝つ」(NTT出版)「ネットビジネスのセキュリティ入門」(日経新聞社)など。

アマチュア無線とインターネット、共通する世界観

★現在、情報セキュリティの第一線で活躍なさっている人というのは、少年時代にアマチュア無線だったり、もっとさかのぼれば鉱石ラジオだったりといった、共通の経験を持っている方が多いと聞きますが、三輪さんの場合はいかがですか。

―そう。もともとインターネットそのものを理解するにあたって、バックボーンになっているのはアマチュア無線ですね。実はアマチュア無線の前に、海外放送を聞くという趣味がありまして。BCL(ブロードキャスティングリスナー)っていうんですけど、それは、ただラジオを聴くだけ。家の中に長いアンテナを作って、アルゼンチンの放送とか、アフリカ、南米とか、異国のラジオを耳を澄ませて聴いて、「聴こえたよ!」ってレポートを送ると向こうから記念のカードがもらえるんです。それがうれしくて、一生懸命収集してましたね。

★アマチュア無線に夢中になっていたのは、いつ頃のお話ですか?

―中学生の頃です。僕らの世代の流行だったんですよ。今でもセミナーで「『ハムになろう!』って言ってわかる人いますか?」と聞いてみると、半分くらいの人が手を挙げる。みんな過去にそういう趣味を持っていたんですよ。 アマチュア無線をずっとやっていると、その中で、グループができます。で、グループができると必ずモメゴトが起きます。あいつの邪魔してやる、とかいって、「ピーッ」って音出したりたとか(笑)。みんなで悪口を言い合ったりだとか、いわゆる今の「ブログ炎上」なんていうのと、まったく一緒なんですよ。 無線の場合は、何人かでアンテナを向け合って方角をお互いに連絡を取り合うと、だいたいどこから電波が出ているか特定できるんです。マイクの音声とか送信のオンオフの際のノイズとかでも推測が出来ます。これも今のネットでのIPアドレスや文章のクセから推測するのと似ていますね。

★確かに、今のネットの世界と共通する部分がありますね。

―そうですね、顔の見えない世界でのコミュニケーションでは同じことが起こるのだと思います。そういう経験があるので、今のインターネットの世界もとてもなじみやすかったですね。というか違和感はありませんでした。また、インターネットの世界でも、無線の世界と同じようにこれからセキュリティに関する問題が起こるという予感は初めから持っていました。

★インターネットの前にパソコン通信ってありましたよね。

―その当時のパソコン通信っていうのは、管理する人がちゃんといて、質問する人がいて、答える人がいる、といった規制のある世界でした。変な発言をすると指導がはいったりして、全然面白くなかった。インターネットになった瞬間に、何やってもいいし、すごく自由だ、わーいって(笑)。

★なんだかセキュリティの世界の方とは思えない発言ですが...

―その時代はそういうことが許されていた、ということでもあります。 ちょうどその当時、米国ではハッカーといわれる子供たちが、ホームページをがんがん書き換えてた時代なんですね。今だったらテロリスト扱いですが、当時は、ホームページが書き換えられると、書き換えられたほうが悪いんだ、と。むしろ教えてもらってありがとうと言えよ、というくらいの勢いでした。その時、「自分の身は自分で守れ」という米国の西部開拓史みたいな文化は絶対日本にはそのまま馴染まないだろうなと思いましたね。 その時、日本ではどういうふうに報道していたかというと、インターネットっていうのは、すごく自由ですごい世界で、無料で会社の宣伝ができる、と。みんなインターネットにつなぐと何でも無料だと思ってた。そうすると、「インターネット便利だー!すごいすごい?」なんて言って、みんな、わーっと行っちゃうんですね。 でも僕は、すぐにセキュリティの問題が出てきて「わーたいへん?危ない?」ってなるだろうと思ってました。そんなことがあって、セキュリティ事業を始めたのです。

未経験入社から社長へ―セキュリティ・ビジネスの黎明期

★ラックでセキュリティのお仕事に就く前にはタイヤを作っていたそうですね。

―それはセキュリティとは全然関係ないんですけど、大学時代はオートバイに明け暮れていていたのです。京都に峠道があって、そこで走りこんで一番になると、今度はサーキットで走るようになります。なんていう趣味が高じて、大学卒業後は、住友ゴムという会社でオートバイのタイヤの開発をやっていました。 企画もするし、製図して図面も引くし、もちろんバイクに乗れるので、テストライダーと一緒に矢田部のコースを走ったり...。そこでは、商品の企画・開発から、実際に生産にのせるまでの工程、意匠登録だ、特許だとか、そういうことを一通り経験させてもらいました。今でもその経験が役立っていて、とても感謝しています。そのあと、「男も30前には仕事変わんなきゃ」と思って、29歳の時に未経験でラックに入りました。

★未経験でラックに入ったんですか?!

―だって「未経験者歓迎」って書いてあったんですよ。でも入ったら全然歓迎されなかった(笑)。プログラム書けないし。それでも、がんばって書けるようになって、プロジェクトマネージャもやりました。それから所長やって、取締役になって、営業とか経営的なことに関わるようになって、社長になってしまった。

★なってしまった、んですね...。ところで、「ラック」ってどんな会社なんですか?

―情報セキュリティの対策の中で、技術面ではトップクラスの会社です。ツールやソリューションがメインではなく、提供するのは技術ノウハウに基づいたサービスです。

★人が出向いて、企業のシステムを点検する?

―そうですね。ちょうど95年にセキュリティ・ビジネスを始めた時にファイアウォール攻撃サービスというものをやったんです。その時に思ったのは、攻撃側のことを一番知っていればセキュリティ・ビジネスは成功する、ということ。攻撃側の技術を真剣に、企業として取り組む大きい会社は絶対ないと思ったんです。今でもほとんどない。そりゃそうですよね。大きな会社で攻撃技術をやっとのことでマスターした技術者でも、定期的に部署移動になってしまうので職人のような業務は難しいのです。逆に、小さいベンチャー会社だったらできるかなって思って。大企業はきっと追いかけてこないから、攻撃の技術を最大限駆使できる会社になろうと思って、現にそうなりました。 実は、攻撃の技術を知ったらとても興味がわいてしまったんです。

★アマチュア無線のころの話もそうですが、まず防御より攻撃ありきというスタンスなのは...

―もともといたずら好きですからね。

★セキュリティ屋さんといっても、セキュリティソフトを売っている、というわけではないんですね。

―あくまで売り物はノウハウなのです。ツールではない。攻撃の技術を知っていると、どうやって防ぐかも分かるし、攻撃する技術が分かっていれば、どういうログが残るかってことも分かります。そうするとログを見ただけで、攻撃方法だけでなく、攻撃する側の心理まで分かってきます。ここまではやらないだろうとか、このくらいはやるだろう、といった、加減具合も分かるんです。そういうことを真剣に取り組んだ会社でした。

★そのころの犯罪というのは、どういうものが多かったんですか?

―いちばん多かったのは、ホームページ侵入ですね。あとはワーム。あとは大企業の情報漏洩事件は多くのケースで事後にラックが呼ばれていましたね。 単なる犯人探しだけじゃなくて、まずはサイト復旧。あとは、プレス発表でどういう表現を使ったほうがいいといったアドバイスまでやってました。 セキュリティ・ビジネスというのは、まず顧客の信用を得ることが一番なんですね。ラックの場合は、大企業ではできないこと、つまり攻撃の技術を知ることから提供できる守りの技術・ノウハウへの信頼ということを念頭に置いて常にアピールするようにしていましたね。

★三輪さんは技術の人、という印象がありましたが、あくまでビジネスとしての技術なんですね。未経験でラックに入られて、技術的なことと経営的なセンスを同時に身につけられたということでしょうか。

―技術的なことをやりつつも、いつも経営のことを考えていましたね。 何かを企画して、開発しても、売れる時期がずれるといけない、とか、自分がほしいものが世の中にほしいものとは限らないとか、そういうことを勉強しましたね。また、業界全体の発展や進むべき方向についても考えて行動していました。

物理的セキュリティとITセキュリティの融合を目指して

★ラックをおやめになられた現在は、フリーでご活躍なさっているそうですね。とりわけ、物理的セキュリティとITセキュリティの融合を目指していらっしゃると伺いました。詳しく教えていただけますか?

―まず、ITセキュリティというのは、言ってみれば「キーボードから先」の対策なんです。つまりパソコンを触った後にできる対策。一方、物理的セキュリティというのは、代表的なものは監視カメラや入退室管理といったものです。つまり、キーボードを触る前の抑止効果。このふたつを組み合わせたサービスを提供できるような事業の立ち上げのお手伝いをしているところです。

★なぜ組み合わせる必要があるのでしょうか?

―内部からの漏えい情報というのは、個人、人間そのものを特定する必要があるんです。ユーザーIDではなくて、人間そのものを特定しなくてはいけない。ITセキュリティで特定できるのはユーザーIDまでじゃないですか。

★ユーザーIDと個人が一致しているかどうかはわからない、というわけですね。

―そうそう。ITをやっていればやっているほど限界を感じるんですよ。だって、人のアカウントでログインされたらそれでおしまいですよ。課長のパスワードをみんなが知っているなんてよくあることじゃないですか。

★はい、よくありますね...。

―しかも上位のアクセス権限を与えられている。そのアカウントで入られて、じゃあ課長が犯人ですかって言われたら違いますよね。でも違うかどうかだって、わからないじゃないですか。リアルの顔が記録されていれば犯人の特定ができます。

★バイオメトリクス認証ではいけないんですか?

―バイオ認証でもパソコンに導入されるもので精度の高いものは高価です。だったら監視カメラ一個の方が安いじゃないですか。全部ITで解決しようとしないで、物理的な対策を加える、この場合は、監視カメラ一個つけるだけで解決することもあるから、そういう風に融合していけばいいですよね。

★でも職場に監視カメラがつくと、すごくいやですね...。働きづらくないですか?

―それはやましいことがあるから。それは寝ているのがばれるから(笑)。 要するに、監視カメラの情報の運用方針を明らかにすればいいだけのことです。「何か起こった場合にさかのぼるためにしか見ません、リアルタイムでは何にも見ません、プライバシーに関するところは見ません」と明らかにすればいいんです。メールのログと一緒ですよ。

★どうしても人事部が巻き戻して見ているんじゃないかという不安があります。

―それはそうできない仕組みを作ること。その上で、オフィスにはカメラがつくべきだと僕は思いますよ。つかないほうがおかしい。だってそこで犯罪が起こっているのに、なぜ撮っていないのか?と。出入口だけとっても意味ないじゃんって思いませんか?

★従業員のメールにしろ、監視カメラの映像にしろ、「誰がどういう場合に、どういう条件で見るか」という情報自体、従業員に知らされていない場合が多いのではないでしょうか?

―それは周知すべきです。僕がアドバイスしている企業では、「普段から見ることは決してないし、何か事が起こった時には、責任者立会のもとでしか見ないことになっている。運用上システムもそういう風になってます」というような話をちゃんとしてからにしなさいと言っています。それが正しい姿だと思う。そういう説明があれば、みんなの理解を得られると思います。

★現在、物理セキュリティとITセキュリティを融合している企業はどれくらいあるんでしょうか?

―ほとんどないですね。だた、顧客サポートセンターのようなところには、一部、入っています。情報漏えい対策です。携帯でモニターの写真撮ってしまうような人もいるので。監視カメラがあったら、やらないでしょう。そういう抑止効果もあるんです。

★物理的セキュリティを入れることで、ITだけよりコストが抑えられるといったことはありますか?

―それは場合によるのでなんともいえないのですが、たとえば、個人の特定のためにすべての端末に精度の高いバイオ認証を導入するコストに比べれば、監視カメラのほうが安いですよね。逆に、USBメモリを差してどうだとか、そういった手元の操作まで監視カメラでとろうとすると大変なことになるので、そういう部分については、USBメモリの制限とかログを取ったりするソフトの方が安いからITを使えばいい。 結局、ほとんどの場合、悪いことというのはパソコンまわりの操作で行われるわけで、それをどう特定するかっていうのは、ITと物理を組み合わせて効率的にやっていきましょう、ということですね。 また、日本の場合には、何でもできなくする「制限型」と抑止効果を期待する「治安型」をバランスよく配置するやり方があっていると考えています。

★なるほど。これからのセキュリティは物理とITの組み合わせということですね。 常に先を見据えてきた三輪さんですが、今日に至るまでセキュリティの変化についてどうとらえていらっしゃいますか?

オオカミは来なかった??セキュリティは「身だしなみ」の時代に

―セキュリティ対策といえば、昔は特別なものだったんだけど、今は当たり前のことになってきたんじゃないかと思いますね。こんなことが起きて、こうこうこうなるからかくかくしかじか...という論法で説き伏せるのではなくて、身だしなみのようなものです。「裸はまずいよ、パンツくらいはこうよ、スーツぐらい着ようよ」という程度です。いまだにセキュリティ業界ではホラー営業をしているところもありますけどね。 もちろん、脅威を強く認識していて、高いセキュリティを求めて積極的に取り組む姿勢が望ましいです。

★ホラー営業ってなんですか?

―怖がらせて売ることです。こうなっちゃったら訴訟費用はいくら、とか。おたくの会社も危ないですよ、といって製品を売りつける。それは絶対やっちゃいけないことです。前の会社でも言っていたのですが、ホラー営業は禁止です。絶対飽きられるから。オオカミは来ませんから。そろそろ企業では、オオカミが本当に来ないことに気が付き始めている。ああ、やばい、オオカミ来ないじゃないかって(笑)。 J-SOXがいま流行っているのは、脅威がなくなったからです。だからつべこべ言わずにやれよ、決まっただろ、と。ある意味開き直ったわけです。ホラー営業の次は開き直り営業。だからとりあえずやっときますかって感じですよね。で、棚卸やっておわり。そうではなくて、セキュリティはあって当たり前のもの。 今後はシステム導入の時に「ところでセキュリティはどうなっている?」と聞かれた時は、「漏えいは防いでいるけど、クラッシュまでは防いでいない。来年の予算でバックアップセンターをつくりましょう」というような、脅されなくてもセキュリティが当たり前の時代になってくると思いますよ。ただし、ここで重要なことはコストです。これからは、コストパフォーマンスの良いセキュリティ対策を計画性と共に提案・構築できるSecurity Integratorが活躍するようになるのではないでしょうか。

★ひとくちに「セキュリティ」といっても、最低限の「みだしなみ」だけでなく、事業継続、コストパフォーマンスといった多角的な視点でとらえなくてはいけない時代になってきたということですね。今日はいろいろなお話をありがとうございました。 後編では、三輪さんのライフワーク(?)のひとつでもある、「セキュリティ・キャンプ」についてお話を伺いたいと思います。(*三輪さんが実行委員長を務めているのは「セキュリティ・キャンプ」です。)

(後編へ続く)

三輪信雄のセキュリティ・ブートキャンプ 後編へ

関連キーワード:
3
参考になったらボタンを押してね
情報セキュリティブログ10周年記念企画
  • 無線LANの盗用とセキュリティ
  • カテゴリートップへ
  • 「2ファクタ認証」を破り銀行口座の情報を盗むトロイの木馬が出現