人知らずして

最近、いろいろとサイバーテロやサイバー攻撃について調べて思ったことや妄想を整理。

最近サイバーテロ/サイバー攻撃について調べていくうち、その脅威が単なる夢から現実になりつつあるのを知った。
サイバーテロは目的によって「金銭目的」のものと「政治目的」のものがある。
金銭目的のものは個人情報を盗む方法から、DoS攻撃による脅迫などさまざまある。(今週の日経コンピュータ(2008/5/1)にはサウンドハウスの情報流出の話が載っていた。)
しかし、今怖いのは政治目的のテロだ。
政治目的のサイバーテロは今までは主義主張を誇示するハクティビズムや情報を盗むスパイ工作、DoSなどによるサーバーダウンが主流だった。
しかし生命に関わるシステムも数多くネットワークに接続されている昨今、サイバー攻撃は「兵器」化するであろう。恐ろしいのはサイバー攻撃による標的は何も軍事目的のサーバーに限らないということ、そして誰がいつ攻撃してくるかもわからない、正にテロだということ。

さて、私のプロフィールにもあるように、私は「健全なシステムのある社会を築くために、システム監査が必要性が高まり、いつかは法定化される」という仮説(あるいは妄想)を立てている。これは、今後社会におけるシステムの重要性が高まるにつれ、不正や障害がシステムに与えるリスクを軽減するためのコントロールを義務付けることが重要だと思っているからだ。

なのでどうしてもこういう疑問が出てくる、
システム監査はサイバーテロをどうコントロールできるのか？

サイバーテロリスクに対するコントロール(たとえばBCPとか、セキュリティとか)を実施し、それをシステム監査でチェックする。それによって企業がサイバーテロの対策を行っていることを義務化させることが可能だ。

で、ちょっと首をかしげる。確かに監査によってサイバーテロ対策を義務付けることができるとして。さて、それだけでサイバーテロによる脅威に対する対策は万全なのだろうか？

システム監査が与えるのはあくまでも内部での不正や誤謬を抑止する効果だ。つまり、「テロ対策が不十分だった」ということをなくすことしかできない。テロの攻撃自体が想定を超えるものであれば、無力となる。そして、テロはその想定を超えるような攻撃をすることもあるだろう。

BCPは災害後の適切で迅速な対応を促すが、地震自体を防いだり、その被害を軽減したりすることはできないのに似ている。企業側が脅威自体(テロ・地震)を直接制御できないのだ。つまり守りに徹するしかない。
となると、できるのは地震と同じ地震予測と同じように事前に早期発見するような仕組みを社会的に作ることだろうか？これは警察や国家もしくはそれ以上の大きな仕事の範疇かもしれないが。

だなんて、まぁ、すべてサイバーテロが今後えらいことになった場合の杞憂ですがね。