
「今だから再認識したいセキュリティの原則」 彼を知り、己を知る
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
2021-04-23
「サイバーセキュリティ対策といえば、カタカナ文字とアルファベットの略語ばかりでよく分わからない……」。そうした印象をお持ちの方は少なくないのではないでしょうか。ITが欧米発祥の技術ゆえ、その用語にぴったり当てはまる日本語がないというのは仕方がないことでしょう。しかし、欧米的な発想に立ってセキュリティを考えると、理解が深まることをご存じでしょうか。今回は英文法の基本形とも言えるSVOをもとに、あるべきセキュリティ対策を考えます。
中学校で習う英語の文法のうち、第3文型であるSVOを思い出してみてください。SはSubjectで主体または主語、VはVerbで動詞、OはObjectで対象または目的語を指します。日本語の語順にすると、S=「誰が」、O=「何に」「何を」、V=「何ができる」「何をした」になりますが、それぞれを明確にすることで、セキュリティ対策とはどうあるべきかが見えてきます。いわばSVOを意識することが、セキュリティを考える際の第一歩になるのです。ではSVOを明確にすることがなぜ重要なのか、それぞれ具体的に見ていきましょう。
まずはS=「誰が」から始めましょう。サイバー空間で「誰が」を明らかにすることは、私が私であることをコンピューターに理解してもらうのと同じことです。コンピューター上の名前に相当するID(識別子)を登録し、それを本人しか知らない情報(パスワードなど)や本人しか持っていない物(クレジットカードなど)、本人の生体情報(指紋など)と結び付けます。管理者の目線で言えば、これにより、誰がシステム上でどのようなことをしたか、誰がどのようなデータにアクセスできるかを明らかにすることができるようになります。
次にO=「何に」「何を」を考えてみましょう。これも主語と同じで、誰が何を扱うかをコンピューターが把握する上で重要な観点です。例えば、あなたが歩いている時、誰の物かが分からないかばんが道に落ちていたとします。そうした場合、むやみに触ることはせず、警察に通報する方が多いのではないでしょうか。サイバー空間でもそれは同じで、あなたが知らない、または信頼できないと判断したものを触ることは非常に危険です。サイバー空間では、それに「触ることができる」と知っていること、つまり安全が確認されているものとそうでないものを区別できるようにすることが重要です。コンピューター上の資産管理や構成管理、脆弱性管理などを通じて扱うものを明らかにする行為が当てはまります。誰が(S)、ハードウェアやソフトウェア(O)を管理していて、そのバージョンは〇〇で、どのソフトウェア同士がつながっていて、そのソフトウェアはどのハードウェアに保管されている……。こうした情報を把握しておくことが大切です。
最後にV=「何ができる」「何をした」です。それぞれ考えてみましょう。
まずは「何ができるか」です。「誰が(S)」「何に(O)」「何ができるか(V)」ということですが、これはアクセス管理に言い換えられます。
といった内容が当てはまります。丸山が顧客データを見る必要がなければ、閲覧権限を付与しないようにする。丸山がバックアップ業務に関わっていないのであれば、そのようなプログラムを実行できないようにする。このように、誰が何に対して何をできるのかを把握することが重要です。
次に「何をしたか」です。コンピューター上で「誰が(S)」「何に(O)」「何をしたか(V)」の記録を取り、必要に応じて分析することが当てはまります。いわゆるログ管理に関連するものです。これにより、例えば、誰が(正確にはどのIDが)個人情報を外部に送信したのかを調べることができます。逆も然りで、誰が個人情報を外部に送信していないのかも同時に調べることができます。こうした記録は、不正やミスに気付くきっかけや、不正をさせない抑止力になると同時に、自分が不正やミスをしていないことを明らかにする上でも非常に重要と言えます。
さて、これまで述べてきた内容を図2にまとめました。誰(S)が、IT資産やデータ、脆弱性に対して(O)、何をできる/した(V)のかを問い、管理していくことは、いわばセキュリティ対策の基本です。
対策の具体的な手法は技術の進歩と共に日々変化していきますが、何をすべきかについては、大きくは変わりません。
SVOを意識してセキュリティを考えてみれば、ゼロトラストをはじめとする最新のコンセプトやワードについても、理解が容易くなるかもしれません。
サイバーセキュリティ対策を考える上での脅威と脆弱性を把握することの重要性を、故事成語と絡めて説明します。
英文法の基本形とも言えるSVOをもとに、あるべきセキュリティ対策を考えます。
どんな組織にも絶対に必要なセキュリティ機能として「セキュリティインシデント対応機能」を取り上げ、あるべき対策を考えます。
セキュリティ対策のあるべき姿を、リスク対応の設計の考え方である「リスクマップ」を使って考えます。
営業秘密は企業の競争優位性を支える重要な知的資産です。本シリーズでは、営業秘密を取り巻く法制度や保護体制の構築プロセスだけでなく、営業秘密を活かした戦略的な利活用方法についても解説します。企業が持つ情報をどのように保護し、ビジネスの成長や競争力強化につなげるかを考察し、実践的なアプローチを提供します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。