「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
今だから再認識したいセキュリティの原則 セキュリティ対策の全体像を捉える ― セキュリティの次元
昨今、国家的な背景を持つサイバー攻撃者による機密情報や個人情報の窃取、ランサムウェアによるシステム停止の被害、企業を標的とした大規模な金銭搾取詐欺などの話題が毎日のように報道されています。ただ、そのような報道に出ているのは実際のごく一部だと言われています。それほどサイバー攻撃は身近なものになってしまいました。
一方、日々進化するサイバー攻撃に対して、その対策も日々進化しています。サイバーセキュリティに関する考え方、セキュリティ対策技術について、さまざまな機関やベンダーから新たなアプローチや製品が現れています。その結果、サイバーキルチェーン、多層防御、ゼロトラスト・アーキテクチャ、セキュリティ・バイ・デザイン、UEBA(User and Entity Behavior Analytics)、CASB(Cloud Access Security Broker)といったサイバーセキュリティに関する多様な用語が紙面に踊るようになっています。ただ、それぞれの用語については、セキュリティ全体の一部を切り出した説明になっているため、個々の用語の説明の理解に追われ、セキュリティ対策の全体像を見失いがちではないでしょうか。今一度、セキュリティ対策を原則に立ち返って考えることにより、その効果の最大化とコストの最適化が可能となります。
今回は「セキュリティの次元」をテーマとし、個別のフレームワークや技術を離れて、セキュリティ対策の全体像について解説します。セキュリティ対策の全体像を理解することで、個別のフレームワークや技術についても、より深く理解することができるでしょう。
セキュリティの次元を考える
セキュリティの次元という考え方は、1981年にDonn B. Parker氏によって書かれた"Computer Security Management"※1という書籍に登場します。セキュリティ対策を考える視点とも言える内容で、以後、多くの読者にセキュリティへの示唆を与えてきました。当時のものとは若干異なりますが、ここでは次の3つの次元で考えてみたいと思います。
- 機能:回避、抑制、防止、検出、回復、訂正
- ライフサイクル:計画・実装・運用・保守
- 対策レイヤー:組織・人・技術・物理
1.機能:
セキュリティインシデントの防止、回復のために
セキュリティを機能の軸で整理してみましょう。セキュリティの運用を中心に考えると分かりやすいかと思います。セキュリティインシデントを中心として、それを防ぐという観点、発見して回復していくという観点に大きく分けて考えると、内部統制の考え方で言う予防的統制、発見的統制にも通じる考え方です。それぞれについては概ね、次のように考えることができます。
インシデントを防ぐ機能が中心となりますが、全てを事前に防ぎきることはできないので、検出、回復で補完するのが一般的です。また、内部不正については、抑制は一定程度有効ですが、外部からの攻撃者に対しては効力を発揮しません。
2.ライフサイクル:
システムのライフサイクル全体でどのようにセキュリティ対策を実装していくか
セキュリティと言うと運用に焦点が当たりがちですが、システムのライフサイクル全体でどのようにセキュリティ対策を実装していくかという視点が重要です。それぞれについては概ね、次のように考えることができます。
ライフサイクルの視点から、計画段階でシステムへのセキュリティ機能の実装およびそれを踏まえた運用を適切に管理するセキュリティ・バイ・デザインの考え方を取り入れることで、コスト効果の高い対策を実現することができるでしょう。
3.対策レイヤー:
どのような技術でセキュリティ対策を実施するか
これは、どのような技術をもって対策を行うかという視点とも言えます。
個人情報保護委員会が「個人情報の保護に関する法律についてのガイドライン(通則編)」をまとめていますが、これの「(別添)講ずべき安全管理措置の内容」※2が、対策レイヤーごとにまとめられています。対策レイヤーは企業の組織体に対応させやすいと言うことができます。レイヤーの一つである技術的対策もベンダー製品カテゴリーに合わせやすいこともあり、対策を練りやすいかもしれません。
簡単にではありますが、セキュリティを構成する次元を例示してきました。全体像ではあるものの、必ずしも絶対的なものではありません。重要なことは、さまざまな対策が全体の一部であることを理解し、その対策がカバーしているのが全体のうちのどの部分で、カバーできていない部分がどこにあるのかを理解しておくことです。常に全体像を意識しておくことが重要ですし、これこそがセキュリティの要と言えるかもしれません。
注記
※1:Donn B. Parker, 1981. Computer Security Management. Prentice Hall.
※2:個人情報保護委員会, 「個人情報の保護に関する法律についてのガイドライン(通則編)」[PDF 320KB]
今だから再認識したいセキュリティの原則
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
EU DORAにおける脅威ベースのペネトレーションテスト(TLPT)義務化の動向
2025年6月18日、欧州委員会はデジタルオペレーションレジリエンス法(DORA)に基づくTLPTに関する規制技術基準(RTS)を公表しました 。国内の金融機関や関連組織に対して、先進的なTLPTに関する法規制の内容を解説し、今後の推奨事項を提示します。
特定卸供給制度におけるサイバーセキュリティ対策届出の対応
特定卸供給事業のライセンス申請においては、セキュリティ対策の実施状況に関する報告が必要となります。報告にて遵守状況の提出が求められるセキュリティ要件の概要や制度対応のポイントを解説します。
米国SECサイバーセキュリティ開示規則適用後の5つの傾向
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの適時開示や年次報告に関する開示規則を、2023年12月18日より適用しました。新規則施行から1年半が経過したタイミングで、米国におけるサイバーセキュリティ情報開示の傾向をまとめ、日本企業への推奨事項を示します。
「営業秘密」の保護と利活用 第3回:無形資産の戦略的保護―営業秘密管理体制の要諦―
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第3回となる本稿では、「営業秘密保護の組織体制」に焦点を当て、どのように最適な管理体制を構築すべきかについて解説します。
Loading...
