ニュートン力学と相対性理論 – エンジニアに見られるセキュリティ対策理解の壁

PHP Security, Security 2月 5, 2015
(Last Updated On: )

以前からセキュリティ対策の本質や定義について何度かブログを書いたり、講演もしてきましたがなかなか理解できない方も多かったです。その構造は

ニュートン力学と相対性理論の理解の壁

これと似ているのでは?と思い書き始めました。「エンジニアのセキュリティ対策理解の壁」は「ニュートン力学と相対性理論の理解の壁」と同類ではないでしょうか?

特に入力バリデーションはセキュリティ対策の基本ではない、と勘違いしている方は続きをご覧ください。

 

エンジニアのセキュリティ対策理解の壁

「セキュリティ対策≒リスク削減策/排除策」と誤解している方がいます。セキュリティ対策の本質は緩和策です。「セキュリティ対策≒リスク緩和策」です。これはISOでも明確に定義されています。

以前から何度ものこのことを伝えてきましたが、なかなか理解してもらえない。その原因は基本的な論理の組み立てを誤っているからです。ニュートン力学と相対性理論に似ています。

ニュートン力学は正しい。しかし、それは一定の範囲で!

しかし、現在の物理学者で「ニュートン力学が全てにおいて正しい」という方は居ません。ニュートン力学は「一定の範囲」では正しいですが、それでは物理が説明できないからです。一定の範囲でだけ正しい理論ではまともな物理学の理論は組み立てられません。

セキュリティ対策も同じです。「セキュリティ対策≒リスク削減策/排除策」は一定の範囲でのみ正しいです。「リスク削減策/排除策」はセキュリティ対策のサブセットでしかありません。ニュートン力学で物理全体が説明できないように、「セキュリティ対策≒リスク削減策/排除策」ではセキュリティ対策全体が説明できません。

「セキュリティ対策とはなんだかよく解らない」とは論理的体系に基づいたセキュリティ対策を知らない、理解していないからではないでしょうか?

 

「セキュリティ対策≒リスク緩和策」ですらセキュリティ対策のサブセット

「セキュリティ対策≒リスク緩和策」ですらセキュリティ対策のサブセットでしかありません。「リスク増加」させることもセキュリティ対策だからです。本当は「セキュリティ対策=リスク管理策」です。リスク管理の多くはリスク緩和/削減ですが、増加も含みます。何か新しいサービスやシステムを導入するとリスクが増加します。これを適切に管理するのもセキュリティ対策です。

エンジニアのセキュリティ対策に対する理解には「ニュートン力学と相対性理論」の理解の壁と同類の壁があるようです。

今までなぜ自信満々に「大垣のいうセキュリティ対策は間違っている」と主張されるソフトウェアエンジニアの方が時々居るのか理解できませんでした。「ニュートン力学は(一定の範囲で)正しい」だから「ニュートン力学で説明できないことは間違っている」と勘違いし、決めつけているような状況だったと想像できます。私に議論してくる方は氷山の一角、ほんの一部です。大量に誤解している方が居ると考えられます。

誤解していた方、ニュートン力学(セキュリティ対策≒リスク削減策/排除策)から今すぐ卒業しましょう!

相対性理論(セキュリティ対策=リスク管理策)による正しいセキュリティ対策論を語りましょう!

特にセキュリティ関係の業務を行ってる方(社内向け含む)が「セキュリティ対策≒緩和策」「セキュリティ対策=管理策」これを理解していないなら非常に問題です。「セキュリティ対策≒緩和策」「セキュリティ対策=管理策」と理解していないなら、本当にやるべきセキュリティ対策を除外したセキュリティ対策を推奨、実施する可能性が高いからです。

誤った論理に基きセキュリティ対策を行っても安全性は向上します。ニュートン力学でも日常の物理を説明できることと似ています。しかし、セキュリティ対策は「全体対策」です。一部にだけ正しい論理では全体の対策はできません。一部にだけ最適化を行っても全体最適化は行なえません。合成の誤謬が発生するからです。

このエントリだけではピンとこなかった、という方は以下のブログも参考にしてください。

 

まとめ

セキュリティ対策の概念はニュートン力学と相対性理論のように難しい物ではありませんが、相対性理論を理解していないことによる誤解と同類の誤りがあるように思います。誤解していた方はコロンブスの卵のような物()と思えば良いかもしれません。

昨日ツイッターで議論して頂いた方、ありがとうございました。こう説明すれば理解できるのではないか?と思いつきブログを書きました。

誰が正しく理解しているのか分からないので誰を信用して良いのか分からない、と思うかも知れません。セキュリティ関係で顔が広い訳ではないですが、私のFacebookの友達になっている方々は正しく理解しているハズです。一定の判断基準にはなるでしょう。

セキュリティ関連の仕事(社内向け含む)の方で「私は正しく理解している」という方、友達リクエストを送っていただければ承認致します。あまり面識の無い方はメッセージも一緒にお願いします。(大量にリクエストが来ると困るのですが、大量には来ないと予想しています)

最後に「リスク管理策」はISO 13335の用語と概念です。ISO 13355は20年前に作られました。壁がある方には「まだニュートン力学?20年は遅れているよ」と優しく正してあげましょう。

 

参考:

投稿者: yohgaki