あるとき子どもが猿に尋ねました。
人の本質は善でしょうか、悪でしょうか?
猿は笑って言いました。
問いを立てた時点で、どちらかに心は傾いているのか?
子どもはしばし考え込みましたが、結論は出ませんでした。
結局、どちらとも言えないのですか?
猿はパソコンの電源を立ち上げ、ログインを行い、コマンド入力画面からよく分からない実行文をいれました。
このコマンドで、何がおきるかは、やってみなければ分からない。しかし、世の中にはこれが「攻撃」だと思っているものもいる。
子どもは、首をかしげながら、更に問いました。
それは捉え方次第で善にもなるし、悪にもなるということでしょうか?
猿は相槌を軽くうちました。
そうかもしれない。でも、確実なのは、他人のパソコンを立ち上げて、勝手にコマンドを入れる奴。それは悪といえるかもな。
子どもは思わず手に持っていた、ポータブル型のゲーミングPCを背中に隠しました。
猿は笑いました。
その隠す心にこそ、人間の本質があるかもしれないな。
会社など組織は、個人情報や未公開の新製品の企画情報など、機密情報・秘密情報を攻撃者から守るための情報セキュリティ対策を施します。
「情報セキュリティ対策の基本は、ファイアウォールを設置することです」と、情報セキュリティに関わっている人であれば、呪文のようにファイアウォールの重要性を唱えてました。
ファイアウォールは、ネットワークの境界に設置され、外部からの不正アクセスやサイバー攻撃から内部のネットワークを保護する仕組みです。
もちろん、企業は、機密性を確保しつつも、必要な情報は外部に許可したいと考えてます。そこでDMZ(非武装地帯)という、緩衝地帯を設け、外部からアクセスが必要なWebサーバーやメールサーバーなどを設置します。
ファイアウォールによって、社内ネットワークを保護しつつ、外部からのアクセスも可能にします。
ところで、鍵穴があれば、そこから向こうの世界を覗いてみたいと思うのは、誰もが持っている人間の本能です。
ファイアウォールによる、危険な外部と、安全な社内という発想は、人間の本能と照らし合わせると矛盾しているように見えます。
なぜなら、鍵穴は社外よりも社内に多く存在するからです。
いまは「ゼロトラスト」という考え方が情報セキュリティの主流になりつつあります。ゼロトラストの最大の特徴は、物理的・ネットワーク的に「社内」にいる人や端末を無条件に信頼しないということです。「社内=信頼できる」「社外=危険」という境界型セキュリティの壁を取っ払ってます。
ゼロトラスト的な見方をすれば、社員は外部の攻撃者より、むしろ危険な存在と解釈できます。「社員は機密情報を漏えいさせない」という、性善説的な解釈では、情報を守ることが出来ないのです。
| 攻撃者 | 危険度 | 理由 |
| 外部攻撃者 | ★★ | 攻撃されても、ファイヤーウォールによるブロックが可能。 |
| 社内攻撃者 | ★★★ | 社内はアクセス許可がされている前提のため、監視・対策が甘い。 |
外部からのサイバー攻撃に備えるよりも、身近にいる社員の内部不正を監視し、問題ある社員を機密情報からブロックする設計を優先するのがいま流です。
