サイバーテロ対策手段としてのホワイトハット(White Hat)について
システム構築の技術とシステム脆弱性対策の技術とは本来一環をなすっものであるが、現状においてはそれぞれ専門性を有する特異な分野の集合であるから、バランスの考え方が求められる。
従来、限られたリソースで、兎に角、形だけでも作り上げ、何とか動いているように見えればリリースを承認してきた。殆どのシステム開発は、とりあえず動いているだけで、バグの塊。デバッグはユーザー(クライアント)を巻き込んでやるのが常識の時代もあった。
今は、流石に、開発のクオリティも向上して、現地調整(運用テスト)の期間は短縮されるし、内容も運用性評価に近いものになっている。ここでの、主なテスターは企業内ユーザー。導入プロジェクトメンバーであったり、パイロット導入部門のユーザーである。視点はユーザビリティ。
セキュリティの評価は、開発フェーズでも、運用テストフェーズでも全くやっていない訳ではないが、極めて基本的なレベルのものでしかない。ハッキングに対する脆弱性が何処にあるのかすら十分検討できていない。そういう専門家が居ないのだから当然。
企業内のシステムは純粋に1つが存在するのでなく、複数のシステムが同居している。非常に込み入った環境で相互運用のためにあちこちにインタフェースを実現している。そういう脆弱なものであるから、書物に紹介されている定番もののセキュリティ対策だけでは追いつかない。
最近は外部アタック(ハッキングテスト)を請け負う企業も出てきた。やらないよりはましだが、脆弱性検出の確立は高くないと思われる。
ホワイトハットはハッカーの善玉と言うべき存在。悪玉をブラックハットと言うかどうかは知らない。あるいはレッドはっととか。ハッカー技術者を採用して、開発段階、テスト運用の段階で協力を得る。社内の関連システムとの相互運用環境でのテストも非常に重要であると思われる。
フェースブックは既に有名人を採用してニュースになったが、グーグルも同様にホワイトハットの協力を得ているようだ。テストサイトを有意義なメッセージを提供した場合は相応の報酬を支払っているらしい。
ホワイトハットに相当する人材は国内にどれくらい存在するか、どのようにコンタクトできるか、どのような契約が相応しいか、加えて、本当にホワイトかの心証を得られるかという問題(?)もある。距離感の問題です。やはり、一つの専門技術としてITベンダーは養成して行くことになるのではないだろうか。
ただ、方法論はさておき、セキュリティに対して開発投資のバランスを欠いていては社会的説明責任はもはや負えない時代になっているということを企業経営者は強く認識する必要があります。
.*.
変な時代になった。ハッカー経験者だけど、更生したいと思っている人が今求められている。ホワイトハット・コンソーシアムでも開催されるのかな。
.*.