セキュリティの神話 -- 研究とビジネスのあいだ

オライリーさんから

セキュリティの神話

セキュリティの神話

を献本してもらった。感謝!

というのも、これの監訳をしている @khiro くんは NAIST の同期であり、修士のとき一緒に SICP 勉強会をやった仲なので、今度本が出るのでお送りしていいですか、とメールいただいたからである。彼は修士を卒業したあとセコムIS研究所に勤めているが、在学中は未踏ユースに採択されたり情報処理学会の論文誌に採録されたりと活躍しており、自分もいろいろと刺激になった。

さてこの本だが、McAfee というアンチウイルスソフトの現CTO(最高技術責任者)、元副社長の人が、セキュリティ関係のソフトについてぶっちゃけた話を書いているエッセイ。1つの章が数ページなので気楽に読める。たとえば、「自分はウイルスソフトの会社にいるが、自分では Mac を使っていて、アンチウイルスソフトはインストールしていない」というようなエピソードを書いて、なぜそうしているのか、という理由をつらつらと述べる、というスタイル。(その章の内容を端的に紹介すると、Mac だから「安全」ということはなく、単に Windows はユーザが多いからセキュリティホールも見つかりやすいだけだが、Macアンチウイルスソフトをインストールして得られるメリット以上にデメリットが上回る、という話)

他にも、アンチウイルスソフトアルゴリズムについてもいろいろと書いてあるので(一般向けに書かれているので、詳しい話を期待する人には物足りないかもしれないが)、参考になる。アンチウイルスソフトが遅いのは、ほとんどのエンジンが既知のウイルスのデータベースを線形探索しているからで、単なるパターンマッチの場合、もっと凝ったアルゴリズム(ハッシュでもいい)を使えば速くなるのはどの企業も分かり切っているのだが、歴史的経緯により線形探索を使っているためだとか、「へー」と思うようなことが多い。

もしくは、以前 Excel をウイルスと誤検出したのがブランドイメージに対してものすごい損失を与えたそうで、ウイルスであるものをウイルスでないとする(false negative)のほうが、ウイルスでないものをウイルスであるとする(false positive)よりまだましであるというのは、現実世界のウイルスとは違うのだな、とか(病気のウイルスは、命に関わるので、false positive を許容して、偽陽性の人は精密に再検査したりするだろう)。

個人的には職業柄第44章の「セキュリティ業界」というエッセイが興味深くて、「セキュリティの業界は「オープン」?」という書き出しから始まって、「研究者とビジネス」というテーマで研究について書いている。彼は最初研究者としてセキュリティ業界に入ってきて、最初は国際会議の論文を書いたり研究費の申請をしたりするところから関わってきたそうだが、それから企業を興したりしてビジネスにシフトしてきた経歴からすると、「学問的な研究が基となって生まれた実用的技術は確かに存在するが、その中で(学術の世界ではなく)ビジネスの世界に大きな影響を与えたものは少ない」とのこと。確かにそうかもな、と思う。少し引用する。

 そうなっているのには様々な理由がある。理由として特に大きいのは、情報が両者の間でほとんど共有されていない、ということだ。たとえば、私が最初に立ち上げたベンチャーでは、高度なセキュリティバグ検出ツールを開発していたが、その技術は、学問の世界で研究されているものよりもずっと先を行っていた。学問の世界では、我々がとっくに実用化していた技術が何年か後に「再発明」され、論文に書かれているような有様だった。それというのも、情報の共有がないせいだ。なぜ情報を共有しないかというと、その方がいいと皆が考えていたからだ。

自分も大学で研究していると(企業の人と話していると)、大学より企業のほうが先を進んでいるのではないか、と思うところがままある。そういう現状を大学の人が知らないで「自分たちのほうが進んでいる」と思っているのは不幸なことである。(もちろん、ある点においてはビジネスが先行していて、ある点においては学問が先行していて、というような形で、常にどちらかが進んでいる、というものではない)

 学問の世界では、論文が書かれると、発表するか否かの判断のため「ピアレビュー(研究者どうしによる査読)」が行われることになっている。これは素晴らしい仕組みである。だが、セキュリティの分野では、発表のための条件として、「新規性」がともかく重視されるというのが困った点だ。ビジネスの世界なら、「目新しい」ということがそれだけで価値を持つことはない。それよりも、いくつもの優れたアイデアを取り入れているということが重用視される。

というのは自分でもよく感じる点で、やはり学問の世界で評価されるためには「新規性」がなによりも重要で、確かに誰もやっていないテーマを掘り起こして問題提起するのはゲームのようで楽しいのだが、新規性がありかつとても重要な問題、というのは意識して探さないと到底見つけられないものであり、そこにとてもギャップを感じる。具体的に言うと、新規性がある論文を書くためには、ここ数年のすでに公開されている他人の論文をサーベイすればある程度可能になると思うので、研究のフィールドでできることなのだが、ビジネスの世界で(つまり社会的に)重要な問題というのは論文を読んでいても書かれていないので、どうしても実際のデータを見ている人や、現実的な問題に取り組んでいる人と交流しないと分からないのである。逆にビジネスに寄りすぎると「重要な問題を解いているけど問題設定も手法も新規性はない」というところになってしまう(それだと論文は書けない……とはいえ論文を書くのにそこまで意味があるのかというと別問題だが)ので、学問的にはバランス感覚が難しいところだが、いずれにせよ情報の共有や人の交流が少ないのはどうにかしたほうがいいと思っている。

あと、セキュリティの話といえば「カッコウはコンピュータに卵を産む」

カッコウはコンピュータに卵を産む〈上〉

カッコウはコンピュータに卵を産む〈上〉

カッコウはコンピュータに卵を産む〈下〉

カッコウはコンピュータに卵を産む〈下〉

が古典で、自分も「20年前の話なんて」と思って最初は馬鹿にして読んでいなかったのだが、読んでみるとこれがまたおもしろい(といっても自分も読んだのは10年前だが……)。Amazon の内容を引用すると、

発端は75セントだった。研究者のコンピュータ・システムの使用料金合計が75セントだけ合致しない。天文学研究のかたわら、新米のシステム管理者となった著者の初仕事が、その原因の究明だった。どうせプログラムのミスさ、と軽い気持ちで調査するうちに、正体不明のコンピュータ・ユーザーが浮かび上がってきた。―ハッカーだ。誰かがコンピュータに侵入している。しかもこのハッカーは、研究所のコンピュータを足場に、国防総省のネットワークをくぐって各地の軍事施設や基地のコンピュータに侵入し、陸軍のデータベースを読みあさって、CIAの情報にまで手をのばしている。この電子スパイの目的は何か。どこからどうやって侵入しているのか。そしてその正体は?世界中に報道された国際ハッカー事件。そのハッカー相手に孤軍奮闘した若き天文学者がみずから書き下ろした、電子スパイ追跡ドキュメント。(上巻の紹介)
ハッカーはドイツから侵入して来ている。アメリカ各地の軍事施設にあきたりず、折り返してドイツ駐留の米軍基地に侵入したり、はては太平洋を越えて日本の米軍基地にまで触手をのばしている。ハッカー本人は端末機の前から一歩も動くことなく世界を縦横に駆け巡り、自在にスパイ活動を行っているのである。FBIもCIAもあいかわらず犯人捜査に動こうとしないが、ドイツの捜査はもう一歩のところまで来ていた。しかし逆探知を完了させるためには、もっと長時間、ハッカーを引きとめておく必要がある。そこでクリフたちが考えだしたのが「おとり作戦」、偽の情報をちらつかせてハッカーを釣りあげようというのである。どこのコンピュータもほとんど無防備だった。次々と明らかにされるハッカー侵入の手口。コンピュータ関係者必読のセキュリティ・マニュアル。(下巻の紹介)

で、Unix ユーザは著者がどのようにして異常に気がついて侵入者を追いつめていったのか見ていると、「おお、ここでそうするか!」とハラハラドキドキできると思う(さすがにこれは「マニュアル」ではないが(笑))。この本、著者が天文学の研究者、というのも、情報系は研究とビジネスの境目が曖昧であったというよい事例になっている。

お菓子食べながらさくっと楽しく読めたので、コンピュータ系の読み物好きな人にはどちらもお勧めである。