作成者 :渡邊 陸斗
皆様は「セキュリティシアター(Security Theater)」という言葉をご存じでしょうか。
これは、実際には効果が薄い(あるいはほとんど無い)にもかかわらず、あたかも安全性を高めているかのように見せかけるセキュリティ対策を指す言葉です。
セキュリティシアターの問題点は、ユーザー(社員や利用者)に負担を強いる一方で、攻撃者にとっては容易に回避でき、実質的な障壁になっていない点にあります。
また、経営層や顧客への「対策をしている」というアピール、いわゆる見た目重視で導入されるケースも多く、結果として手間だけが増え、リスクは残り続けるという状況を生み出します。この言葉は主に情報セキュリティ分野で使われますが、物理的セキュリティや組織統治の文脈でも用いられることがあります。
インドネシアにおいては公共交通機関の荷物検査が該当します。金属探知機をかざすだけ、ドラムスティックのような棒で荷物の中身を数秒確認するだけのセキュリティチェックを至る所で見かけます。もはやセキュリティ同士が会話しており見ていないことも多々あります。
情報セキュリティの話に戻りますが、この「セキュリティシアター」として有名なものはPPAPメールです。名前だけではおそらくピンとこないかと思いますが、誰しもが一度は見たことがあるメール形式となっています。PPAPメールは日本の情報セキュリティ業界で発生した俗称であり、当時ピコピ太郎が流行っていたこともあり定着しました。
PPAPメールとは下記の略称です。
P:Passwordつきzip暗号化ファイルを送ります
P:Passwordを送ります
A:暗号化
P:プロトコル
つまり、パスワード付きのZIPファイルを送信し、その後にパスワードを別途送る方式を指します。現在でも社内運用として採用している企業は少なくありませんが、PPAPはセキュリティシアターの代表例として広く知られています。
一般の利用者から見ると「きちんと対策をしている」ように見えますが、実際のセキュリティ効果はほとんどありません。理由は明確で、ファイルが盗聴されている場合、後から送信されるパスワードも同様に盗聴されるためです。さらに、ZIPファイルにパスワードが設定されていることで、受信側でウイルスチェックができないという重大なデメリットもあります。パスワードを電話やSMSなど別経路で送信すれば安全性は向上しますが、運用面で現実的とは言えず、結果として効果の薄い対策に留まってしまいます。
実は、オンラインストレージの方がセキュリティ上強い傾向がありますが、利便性が高く手間が少ない為「セキュリティを強化している感覚」が得られにくく、逆に手間のかかるPPAPの方がセキュリティを強固にしている“感”が強く日本社会からなかなか廃れない一因とも言えます。
もう一つセキュリティシアターとして有名なものはパスワードに関する過剰な制限です。
「制限を厳しくすればするほど安全になる」と考えてはいないでしょうか?実は、ここにも落とし穴があります。
多くのサービスで採用されているパスワードの定期変更は、現在では「セキュリティ上ほとんど意味がない」とされています。
過去のパスワードを再利用できない仕組みがあっても、実際には以下のような行動を誘発しがちです。
- 少数のパスワードを使い回す
- 覚えやすい単純なパスワードにする
結果として、かえってセキュリティリスクを高めてしまう場合も少なくありません。
セキュリティシアターの最も危険な点は、「対策をしたつもり」になってしまうことです。
表面的には対策が存在しているため、リスクが可視化されず、実際の脅威が放置されたままになるのです。
AIの進化により、コンピューターのクラッキング(ハッキング)やコンピュータウイルスの作成は、以前ほど高度な専門知識を必要としなくなりました。サイバーセキュリティの世界では常に攻撃者側が有利であり、対策はイタチごっこになりがちです。しかし、侵入経路を一つずつ塞ぐことで、攻撃を受ける確率を下げることは確かです。対策を放置すること自体が、リスクにつながります。
この機会に、社内で運用しているセキュリティ対策が「セキュリティシアター」になっていないか、一度見直してみてはいかがでしょうか。
参考:
- 佐々木良一 基調講演 「PPAP廃止に関する動向と対策案の検討」 一般財団法人日本情報経済社会推進協会
- 嶋田 創 「ダメなセキュリティ対策とその悪影響」
- 佐々木良一「PPAP 廃止に関する動向と対象群別に望ましい対策案の提案」 (「マルチメディア,分散,協調とモバイル (DICOMO2022)シンポジウム」 令和4年7月)