「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
今だから再認識したいセキュリティの原則 セキュリティ対策の全体像を捉える ― セキュリティの次元
昨今、国家的な背景を持つサイバー攻撃者による機密情報や個人情報の窃取、ランサムウェアによるシステム停止の被害、企業を標的とした大規模な金銭搾取詐欺などの話題が毎日のように報道されています。ただ、そのような報道に出ているのは実際のごく一部だと言われています。それほどサイバー攻撃は身近なものになってしまいました。
一方、日々進化するサイバー攻撃に対して、その対策も日々進化しています。サイバーセキュリティに関する考え方、セキュリティ対策技術について、さまざまな機関やベンダーから新たなアプローチや製品が現れています。その結果、サイバーキルチェーン、多層防御、ゼロトラスト・アーキテクチャ、セキュリティ・バイ・デザイン、UEBA(User and Entity Behavior Analytics)、CASB(Cloud Access Security Broker)といったサイバーセキュリティに関する多様な用語が紙面に踊るようになっています。ただ、それぞれの用語については、セキュリティ全体の一部を切り出した説明になっているため、個々の用語の説明の理解に追われ、セキュリティ対策の全体像を見失いがちではないでしょうか。今一度、セキュリティ対策を原則に立ち返って考えることにより、その効果の最大化とコストの最適化が可能となります。
今回は「セキュリティの次元」をテーマとし、個別のフレームワークや技術を離れて、セキュリティ対策の全体像について解説します。セキュリティ対策の全体像を理解することで、個別のフレームワークや技術についても、より深く理解することができるでしょう。
セキュリティの次元を考える
セキュリティの次元という考え方は、1981年にDonn B. Parker氏によって書かれた"Computer Security Management"※1という書籍に登場します。セキュリティ対策を考える視点とも言える内容で、以後、多くの読者にセキュリティへの示唆を与えてきました。当時のものとは若干異なりますが、ここでは次の3つの次元で考えてみたいと思います。
- 機能:回避、抑制、防止、検出、回復、訂正
- ライフサイクル:計画・実装・運用・保守
- 対策レイヤー:組織・人・技術・物理
1.機能:
セキュリティインシデントの防止、回復のために
セキュリティを機能の軸で整理してみましょう。セキュリティの運用を中心に考えると分かりやすいかと思います。セキュリティインシデントを中心として、それを防ぐという観点、発見して回復していくという観点に大きく分けて考えると、内部統制の考え方で言う予防的統制、発見的統制にも通じる考え方です。それぞれについては概ね、次のように考えることができます。
インシデントを防ぐ機能が中心となりますが、全てを事前に防ぎきることはできないので、検出、回復で補完するのが一般的です。また、内部不正については、抑制は一定程度有効ですが、外部からの攻撃者に対しては効力を発揮しません。
2.ライフサイクル:
システムのライフサイクル全体でどのようにセキュリティ対策を実装していくか
セキュリティと言うと運用に焦点が当たりがちですが、システムのライフサイクル全体でどのようにセキュリティ対策を実装していくかという視点が重要です。それぞれについては概ね、次のように考えることができます。
ライフサイクルの視点から、計画段階でシステムへのセキュリティ機能の実装およびそれを踏まえた運用を適切に管理するセキュリティ・バイ・デザインの考え方を取り入れることで、コスト効果の高い対策を実現することができるでしょう。
3.対策レイヤー:
どのような技術でセキュリティ対策を実施するか
これは、どのような技術をもって対策を行うかという視点とも言えます。
個人情報保護委員会が「個人情報の保護に関する法律についてのガイドライン(通則編)」をまとめていますが、これの「(別添)講ずべき安全管理措置の内容」※2が、対策レイヤーごとにまとめられています。対策レイヤーは企業の組織体に対応させやすいと言うことができます。レイヤーの一つである技術的対策もベンダー製品カテゴリーに合わせやすいこともあり、対策を練りやすいかもしれません。
簡単にではありますが、セキュリティを構成する次元を例示してきました。全体像ではあるものの、必ずしも絶対的なものではありません。重要なことは、さまざまな対策が全体の一部であることを理解し、その対策がカバーしているのが全体のうちのどの部分で、カバーできていない部分がどこにあるのかを理解しておくことです。常に全体像を意識しておくことが重要ですし、これこそがセキュリティの要と言えるかもしれません。
注記
※1:Donn B. Parker, 1981. Computer Security Management. Prentice Hall.
※2:個人情報保護委員会, 「個人情報の保護に関する法律についてのガイドライン(通則編)」[PDF 320KB]
今だから再認識したいセキュリティの原則
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
米国の船舶および港湾のサイバーセキュリティ法規制最新動向
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
Loading...
