第425号コラム:丸山 満彦 監事
(デロイト トーマツ リスクサービス株式会社 代表取締役社長、公認会計士、公認情報システム監査人)
題:「本質を理解する」

IoT, FinTech, Cloud, AI, SIEM, SOC, CSIRT, IAM, CRF, NGF, ランサムウェア等、いろいろな用語がサイバーセキュリティの文脈の中で語られ、サイバーセキュリティは常に最新の動向を追いかけていなければならない状況です。攻撃者は現状の対策の裏をかくような攻撃の方法を開発し、それを防ぐためにまた新しい対策を考え出すというイタチゴッコがいつまでも続く状況だからです。そのため、ベンダーやコンサルティング会社の皆さまは常に最新の情報をいち早く入手し、他社と差別化を図ろうとし、事業者の皆さまも最新の情報を理解し、自社で利用すべきかどうかを検討している状況ですね。最新の技術は、それなりに複雑で理解に時間がかかるようなものもあるでしょう。最新の情報を常に追いかけることはエネルギーが必要です。

さて、今年の5月で20周年を迎えた「コンピュータ犯罪に係る白浜シンポジウム」の記念講演で私は「サイバーセキュリティのこれまでとこれから」というお題で話をしました。
なぜ私が20周年記念講演で話を依頼されたかということを考えると、やはり古くからサイバーセキュリティに係っていたからだと思いました。そこで、メッセージを「サイバーセキュリティ問題の本質は何か」ということに置いて、35年前のセキュリティの本(コンピュータ・セキュリティ 犯罪対策と災害対策 ドン・パーカー著 日本情報処理開発協会監訳)を元にサイバーセキュリティの問題について当時の人がどのように考えていたのかを紹介しました。多くの人から「目から鱗が落ちたようだ」、「非常に参考になった。早速、社内のメンバーとも共有したい」など過分なお言葉をいただけました。しかし、そのとき同時に、「私達はしっかりと本質を踏まえた上でサイバーセキュリティ対策をしなければならない」と思いました。
ということで、これからは、いくつかのこの書籍にある言葉を皆さまと共有したいと思います。これらの言葉は35年前の言葉です。忘れないように(^^)

=====
「まえがき」から
● コンピュータ・セキュリティは人間の心理と社会環境に関するものであって、決して技術的な問題ではないということである。
● 問題を解決する糸口は、人間自身、彼らの行動・態度にある。

「序」から
● コンピュータ・セキュリティは、3種類の基本的脅威から資産を守り、その損害をできるだけ少なくしようと勤めることにある。つまり、自然災害(例えば異常気象)、人が起こすミスとかエラー(例えば、誤ったテープのラベリング)、詐欺やサボタージュなどの意図的行為の3種である。
● 意図的な脅威に対しては、現在使用されている「料理の本」方式のアプローチでは不充分である。犯罪に対する戦いの悲しむべき歴史が、伝統的な方法では不充分であることを証明している。・・・犯罪者は、資産を守ろうとする者と同じように安全対策を熟知しており、その裏をかこうとするのである。
● 犯罪の自動化は、伝統的なセキュリティの専門家、法執行者、検察を当惑させるようになった。これと同時に、犯罪の環境とかプロセスの自動化は、犯罪に対する安全対策そのものを自動化する新しい機会を生み出すことにもなった。
● コンピュータ・セキュリティの専門家は、犯罪を犯そうとする者と同程度の創造性を持っていなければならない。
● 経験と敵の役割を演じることによって脅威のシナリオを開発し、使用することが必要である。
● コンピュータ・セキュリティの問題があまりにも広範囲であるため、セキュリティの全ての分野について十分な判断を下せる専門家たり得ない。
● 偶発的事故に備えただけでは、意図的行為による損害の備えにはならないが、意図的行為の対策にわずかな費用を加えるだけで偶発的事故に対する備えになる。

「第1章 セキュリティに係る問題」から
● 意図的行為による損害の基本的問題は、流通性のある資産をどのように保護するかにある。

「第4章 概念と定義」から
● セキュリティは、回避、抑制、防止、検出、回復、訂正の6つの機能からなっている。
● 安全対策には、自動的なものと、人手によるものがある。この中でも「エラーとミス」と「意図的行為」の比較は興味深い。
● セキュリティを改善するためのアプローチは、セキュリティの主要な2つの型、つまり偶発的事故と意図的行為の区別、そしてそれを別々の問題として扱う。
● エラーとミスの発生は、損害事件の統計的分析が充分可能なほど頻度が高い。・・・エラーとミスの主な場所とソースを明らかにするための分析を行うことができる。また事故発生の統計データからは、確率とそれから予想される損害を計算することができる。これとは逆に、意図的に引き起こされた損害は、発生率が低く統計分析が難しい。
● 偶発的に生じる損害は、単一の孤立した行為から生じるもので、それぞれの事件は一般に他の損害事件とは関係ない。一方、意図的に引き起こされた損害は通常、連続した行為から生じたものである。
● エラーとかミスを起こす行動は比較的単純である。行為の瞬間に係わるものであることから、行為の後その本人がせいぜいエラーの原因となった弱点を防護する必要性を感じる位である。一方意図的行為を行った人達の大半は、極めて複雑な行為をとる。
● 文献の多くは、チェック・リストを用いるか、あるいは料理のテキストのようなアプローチでコンピュータ・セキュリティを論じている。その戦略は、チェック・リストの中で、良く知られた安全対策とそれに対して用意されたコントロールを実施するという概念に基づいている。この方法は、特にエラーやミスを扱う場合には役立つが、意図的に引き起こされた損害に対しては充分ではないし、また有効でもない。
● 偶発的事故の大半は防ぐことが可能である。・・・その理由の1つは、保護対策が効果的であったかどうかは、発生した事故統計をとることで測定できるし、得られたニーズに応じて適切なセキュリティを設定することができるからである。意図的な行為による損害を高いレベルで保護するのは、損害が発生する可能性に関する私達の知見が充分でないため非常に困難である。

「第5章 セキュリティの機能」から
● 一般的には、回復機能が最も高い優先順位を持つ、他のセキュリティ機能が無い場合でも、組織は少なくとも回復機能を持ち、事故によるビジネス活動の停止を未然に防がなければならないからである。・・・組織にとって2番目の優先順位を持つものは、明白な犯罪の防止を防ぐという意味での防止機能である。その次は検出機能である。これは、明らかな形をとらない事故を、最適の回復が行えるようタイムリーに発見するためのものである。訂正機能は、回復後の防止機能及び検出機能の再配置、修正を意味する。最終的に新しいプログラムでは、抑制の手法についても検討しなければならない。

「第12章 安全対策の識別、選択、実施」から
安全対策の選択原則は、
(1) 費用対効果
(2) リアルタイムによる人的介入の削減
(3) 補助装置及び二重安全対策装置の省略
(4) 設計機密の欠如
(5) 最小特権
(6) エントラップメント
(7) コントロールとその対象者の独立性
(8) 包括的適用
(9) 区画化及び深層防御法
(10) 隔離、経済性及び最少の共通機構
(11) 完全及び一貫性
(12) 計装
(13) 職員の受容と寛容
(14) 持続性
(15) 監査能力
(16) 責任能力
(17) 反応及び回復
(18) 残留効果及びリセット
(19) メーカ、サプライヤ、サービス提供者の信用度
(20) 多重機能
=====

いやいやもっと紹介したことがあるのですが、このくらいで・・・
複雑なことでもシンプルに考え本質に立ち戻れば、応用が利く。逆に本質を理解しなければ、様々な応用問題に対応できなくなる。そういう意味では、コンピュータがプリミティブであったころのセキュリティについて理解をするのが、本質を理解する上で重要なのだろうと思います。

最後に今回のテーマとは直接関係ないのですが、この5月9日11時38分に永眠した故山口英先生について触れたいと思います。

私と山口先生の最初の出会いは、UNIXセキュリティの書籍を通じてでした。確か1995年くらいだったと思います。当時の私は汎用機についてのセキュリティ知識を習ったばかりで、オープン系のシステムのセキュリティについてはこれから勉強ということでよい本はないかと探していたところ、山口先生が監訳をしたUNIXセキュリティの本に出会い、これを使って勉強をすることになりました。手元に残る当時の本は1993年の初版です。現物の山口先生との出会いは、経済産業省の情報セキュリティ総合戦略策定委員会(2003年)でした。技術的な知見をしっかりと持ちながらも、戦略的な視点、経営者の目線を持っていて、更にエネルギッシュで多くの人を魅了する不思議な方だなぁというのが最初の印象で、その後も変わることはありませんでした。2004年から内閣官房情報セキュリティセンターの立ち上げで一緒にかかわることになり、約6年間ほど一緒に仕事をしました。その後2006年に私がJPCERT/CCの監事を引き受けることになり、そこでも山口先生(理事長)と一緒に仕事をすることになりました。本当にいろいろと勉強をさせてもらいました。その後、体調を崩され、入院されるようになってからは、何度か病院にお見舞いに行きました。おいしいお菓子をもって。希望を捨てずにリハビリに打ち込む姿や、おいしいものに本当に目がない山口先生の姿が今でも思い出されます。最後にお会いしたのが、2016年1月20日に奈良先端大学院大学の先生の研究室を訪問したときです。そして最後に声をきいたのが4月21日のJPCERT/CCの理事会でした。

今から振り返れば、山口先生のいっていることは一貫していて、それこそサイバーセキュリティの本質だったなぁと思うわけです。先生は風のように駆け抜けてしまったのですが、先生の考えていたことを引き継いで、さらにそれを超えるようにと思っておりますが、どこまで実現できるやら。まぁ、ぼちぼちがんばります。山口先生、「また逢う日まで」。

ちなみに、山口先生はお別れ会で流す歌をあらかじめ決めていまして、それが尾崎紀世彦さんの「また逢う日まで」でした。

【著作権は、丸山氏に属します】