★☆★JNSAメールマガジン 第15号 2013.8.2.☆★☆
先日インドに行く機会があり、セキュリティの運用の難しさをあらためて認識 させられることがありましたので、本コラムに取り上げてみます。
セキュリティといってもJNSAの会員の多くの皆さまがご専門とされている、 ネットワークセキュリティやサイバーセキュリティといったバーチャルのセキュ リティではなく、いわゆる物理セキュリティについてです。さらに、物理セキュ リティといったときに皆さまがすぐに想像されるのは、建物や敷地の入退室管理 で使用されるフラッパーゲートや電子錠付きの扉、あるいは監視カメラのシステ ムではないかと考えますが、今回のお話は、日本では空港など非常に限られた施 設でしかお目にかかることのない、金属探知を目的としたセキュリティゲートや 荷物の中身を検査するためのX線検査装置といった、「サイバー」の付かないテロ 対策装置と、その運用についてのお話です。
テロ対策装置について自分の限られた経験の中から思い出すに、空港以外で初 めて見たのはフランスのルーブル美術館でガラスのピラミッドに覆われた入り口 に設置されているセキュリティゲートとX線検査装置だったと記憶しています。 たしか、セーヌ川対岸のオルセー美術館にも同様の装置があり、いずれも空港と 同様に構造上必ず検査を受けないと中に入れないような位置に設置されて厳格に 運用されいるため、入り口の列でだいぶ待たされたように記憶しています。 一方、同じ欧州でもほぼ同時期に訪れたイギリスの大英博物館には何もなかった ように思います。当時は、両国の置かれている状況の違いや、収蔵物の資産評価や 価値観の違いによるものか、とあまり気にもしませんでした。
次にテロ対策装置に遭遇したのは、上記から5年ぐらい間があきますが中国の 北京の地下鉄でした。北京では地下鉄の各駅の改札前に、X線検査装置が設置さ れており、検査員が1人ついて通過する荷物を画面を通してチェックしていまし た。北京市民は、何事もなく黙々と手荷物を検査装置に通してから改札へ向かい ます。検査装置は券売機の脇に置かれているだけなので、回避をしようとすれば できる構造ではあるのですが、検査員が目を光らせているため、誰も検査を回避 しようとする光景にはお目にかかりませんでした。
このあとまた少し時間を置いて行った、海を挟んでお隣の台湾では、台北101 といった人気の観光施設に行ってもテロ対策装置などは全くなく、平和そのもの といった印象でした。振り返って日本でも、まだ東京スカイツリーに自身はの ぼったことがないのですが、昇った人の話では、台湾と同様にテロ対策装置は 皆無で、やはり平和そのものということです。
話をインドに戻すと、このテロ対策装置が街のいたるところに設置されている のです。空港以外では、やや高めのホテルやオフィスビルなどで普通に設置され ています。さらに驚いたことに、夕食の材料を買いにいくようなごく普通のスー パーの入り口にもセキュリティゲートが置かれていたりします。置き方は、出る 際には通らなくていいように配慮してか、構造的には検査を回避できる場所にお かれていたりもしますが、しっかりと運用されている施設では、必ず係員がつい ていて、通過する人が検査を受けていることをちゃんと見ています。しかしなが ら、先のスーパーなどでは、係員がおらず、セキュリティゲートだけが置かれて いて、出口用のスペースからセキュリティゲートをくくらず自由に出入りしてい ました。壊れているのかと思いきや、金属を身につけて通過すると、ちゃんとラ ンプがつきますが、誰も何にも言いません。この検査装置の存在は何の意味があ るのか、理解に苦しむところです。
つらつらとテロ対策装置の導入事例をあげて話をしましたが、少し整理すると、 まず最も良いのは、仕組みとして不正ができないようにすることです。これは、 空港の場合や先の例ではフランスの美術館が当てはまり、検査装置を通過しない と中に入れない構造になっています。加えて、非常に厳格に運用が行われています。 つぎに、仕組みとして不正ができないところまで対策ができない場合でも、しっか りとした運用でカバーすることです。先の例では、北京の地下鉄やインドのホテル、 オフィスビルなどの例が、構造上は不正ができるがこれを人を配置して運用でカバー しています。最後、もっとも良くないのは、仕組みとして不正ができないところま で対策ができていないにもかかわらず、運用が不十分なあるいは全く運用がなされ ていないものです。先の例では、インドのスーパーの例がこれに当てはまります。
これら運用の話は、バーチャルの世界のネットワークセキュリティ対策にも当 てはまります。対策を導入しただけで、しっかりとした運用がないと十分な効果 は得られません。さらに、たとえ導入した対策が仕組みとして回避不可能であっ ても、セキュリティについては絶対ということはなく、攻撃も日々進歩していく ために対策も次第に陳腐化していきます。テロで言えば、飛行機の中に少量の異 なる液体を持ち込んで、これらから機内で爆発物を作ろうとした事件などは、物 理の世界でも攻撃が日々進化していることを強烈に印象づけました。単に、対策 を導入しただけで安心せずに、しっかりと運用をまわすことが重要であり、その 対策が十分かをチェックし、必要ならば更新していくことも求められます。
本コラムを読んでいただいている皆さまの環境におかれましても、「スーパー の検査装置」みたいに導入したままで機能していない対策がないか、その運用が 十分か今一度点検されてはいかがでしょうか。