環境問題としてのセキュリティ
情報システムへの「攻撃」を、当該システムの利用形態のひとつとみなす。すなわち、情報システムの通常想定するユーザーによる利用と同じ水準の行いとして取り扱うということ。情報システムは、ある種の目的のために構築・運用されるものだから、攻撃によって攻撃者の望む結果を得ることは叶わないが、攻撃者の利用によって、情報システムがよりよくなる構成をとれれば、攻撃者もまた情報システムのユーザーであるとみなすこともできるようになる。
情報システムへの侵害は、いまやサーチ&デストロイモデル、すなわち、たまたま対策できなかった脅威に対する確率的な探索と攻撃の成功というモデルではなく、宇宙空間を旅する宇宙船における真空の浸透というモデルがふさわしい。すなわち、欠陥があれば直ちに環境が浸透してくる=攻撃が起こる。後者のモデルにおいては、環境の「悪」について、それを変容させようという考えはもはや放棄せざるを得ない。宇宙空間において、真空を空気で満たすことは不可能だからだ。つまり、所与の環境をどのように情報システムの継続的な運用に活用していくかを考えていく必要がある。
情報システムへの攻撃という観点で考えると、どうしても発想が防御的になるため、モデルもネガティブに聞こえるものになってしまうが、もう少しその暗さを取り除くと、エコシステムとの共存という方向に発想をつなげていくほうが良かろうとも思う。たとえば、情報システムをある種の作物を栽培する畑のようなものだと考えてみる。そのとき、農場主の考えのみによっていかなる作物が適正化を考えることはできない。その土地の気候や土壌、災害のパターン、周囲の植生や生態系など、容易には変え難い条件を組み入れつつ、畑を涵養していくことになる。
そのような環境条件を情報システムを侵害することであるとみなせばセキュリティ対策的な取り扱いになるが、ただ、それは変え難い制約なのだから、うまいこと活かしてよりよい作物を作っていくことが、生産的な考え方ということになるだろう。現代の情報システムは、ある一つの組織の努力のみによっては作られ得ない。アプリケーションの各レイヤを構成する要素は多くをOSSとともにあり、それらのソフトウェアのエコシステムの中で、情報システムは育まれる。だからエコシステムは、単なる制約ではなく、情報システムの成立条件でもある。
情報システムにとって直接・間接に利害をもたらすエコシステムとうまく付き合いつつ、社会に望まれる作物をよりよく育てること。そのために土壌を涵養することが組織能力の涵養ということになるし、農業技術を高めることは、そのままエンジニアリング能力ということに対応する。そのように考えていくと、セキュリティというのを悪意による侵害と捉える旧来的なモデルよりも、ある種の環境問題のように捉えるモデルの方が、セキュリティ対策のみならず、エコシステムを良い面も含めて情報システムに資することとして考える視座をもたらす、よりよい考え方であるといえる。
情報システムにとってのエコシステム、外部環境の複雑性は、セキュリティ的には侵害になりうるが、情報システムの発展にとって欠かせない恵みももたらす。そうなると、重要なのはその複雑性を馴致し、情報システムの発展にとってよいフィードバックとして取り扱えるようにすることだろう。DevSecOpsというフレームワークは、そのような情報システムにとってのエコシステムの恵みを開発・セキュリティ・運用という切り口において活かしていこうという考え方であると位置づけられる。
情報システムの環境問題、という考え方でいくと、切り口はもちろん開発・セキュリティ・運用のみならず、組織の環境との接点の全面において現れてくる。すなわち、組織マネジメントにおける全般的なイシューとして取り扱うべきだろう。その切り口のひとつひとつで防御的にことにあたるのではなく、環境問題と同じく、情報システム、エコシステム、ユーザー、開発運用者という登場人物たちからなるシステム全体を考えていくということ。
我々の提唱している「なめらかなシステム」についても、情報システム、ユーザー、開発運用者という三つ組に加えて、それらをとりまくエコシステム、それもセキュリティ侵害を潜在的に行い得る「攻撃者」をも包含したそれとして、モデル化を深化させていく必要があろうと思う。また、環境問題としての視座の獲得により、情報システムと外部環境のとの間のイシューを、これまで蓄積されてきた環境経済学的な道具立ても利用して考えていくことができるようになる。ある種の環境ビジネスとしてのセキュリティ事業という捉え方。 環境経済学の道具立てが使えるというのは、たとえば外部性という概念がある。情報システムにとっての外部性とは、外部経済という意味ではOSSなどがあるし、外部不経済という意味ではセキュリティ対策の不備によるユーザへのコスト転嫁を考えることができる。そのような外部性をいかに内部化するか。セキュリティ侵害のリスクの定量化は難しく、将来のコストであるためになかなか内部化しづらい。それに処するには、たとえばある種の規制をしくというのは、ピグー税のような効果をもって、はらわなければユーザが負担することになる将来コストを、現在において内部化するということになろう。