特別対談

  1. ホーム
  2. 特別対談トップ_page 01
  3. page 05

サイバーレジリエンス時代に求められる
ネットワークフォレンジックス

05リスクベースアプローチの考え方

イメージ

【 この対談は2019年10月に開催され、記事内容は当時のものです。何卒ご了承ください。 】

藤原
今までのサイバーセキュリティは、技術的対策で安全にすることで事故が起こらないようにするということでしたが、事故の種が繰り返されているうちに、いずれ大きな事故へと発展する事は避けられない。一方、レジリエンスは、そういった大きな事故にならないように、もしくは事故が起こっても事業継続性が損なわれないようにするため、回復力をつくっていこうという考え方でした。こうした意味で、サイバーレジリエンスは「事故前提型」と言えると思います。
この事故前提型の対策を実現していくためには、どのような取り組みが企業に求められるでしょうか。
門林
「事故前提型」は日本語として馴染みやすいので、事故前提型で考えていただければ良いと思います。加えてもう一つの考え方として、「リスクベースアプローチ」があります。端的には、個々のリスクを評価して、適切な対応をするということです。
これまでの発想だと、「ファイアウォールを買いましたので、事故は起きません」ということになってしまっていました。よって情報漏洩は考えず、ウイルス感染も考えない、といった思考停止状態に陥っていたのです。
その背景には、日本のセキュリティ業界が、「事故の悪影響は上流で堰き止められるので、御社は大丈夫です。情報漏洩もウイルス感染もDDoS攻撃も何もありませんよ」といった雰囲気で、ビジネスをしてきてしまった部分が少なからずあります。逆に考えると、そのようにお客さんがベンダーに言わせていた部分もあるのです。「これを買ったらリスクはなくなると言ってくれ。言ってくれないと買いません」と。
藤原
それは、「技術的な安全を買っていた」というよりは、「心理的な安心を買っていた」という状況に見えます。
門林
そうですね。 そういう状況もあって、組織内で一度、ウイルス感染事故が起ると、顧客はベンダーに対し「コレを買ったら大丈夫だと言ったじゃないか。なぜ事故が起るんだ」と、自組織内の体制の問題をベンダーに対して責任転嫁してしまうことも少なくありませんでした。
このように、セキュリティを売る側と買う側、双方の問題ではあるのですが、そういう現場が沢山あることもあって、日本のセキュリティはすごく歪んでしまっているのだと思います。
これに対して、「リスクベースのアプローチ」とは、「結局リスクは無くならない」という発想なんです。
例え話として「従業員が100人出社したとして、その100人のうち二日酔いの従業員が何人いますか」という問いかけをしたとします。まず答えられません。でも、昨晩の酔いが醒めていない従業員も朝、メールを見ますよね。二日酔いなのに正しい判断ができるでしょうか。
二日酔いで判断に不安がある従業員が会社に何人かいて、メールの添付ファイルを不用意にクリックしている。セキュリティ事故が起こった時に、「なぜそんなファイルをクリックしたんだ」と問い詰めても、従業員は「二日酔いでした」とは言えないですよね。
藤原
現実的に営業担当者がお客様と夜遅くまで飲みに行くとか、日常的にあり得る話ですよね。事故が起こった時に、その営業担当者に全ての責任を負わせることは難しいでしょう。
門林
スマートフォンにしろパソコンにしろ、「あなたは二日酔いだから、この端末に触れることはできません」とは言わないですよね。コンピュータは常に人間の言うことを聞く様に設計されているので、怪しげな添付ファイルでも、クリックして「開けろ」と人間が指示をしたら、コンピュータは添付ファイルを開けてしまうのです。
ちなみに、サイバーセキュリティで事故が起きる入り口の9割は、フィッシング詐欺のメールと言われています。標的型攻撃など攻撃手法は様々ですが、そもそもの入り口は従業員が騙されたところがキッカケとなっているのです。
藤原
9割ですか。二日酔いは極端な例としても、「あっ!やっちゃった!」みたいな事は、人間ですからありますよね。疲れている時や、意識が集中できない時なども少なからずありますので、ミスや誤認を完全に避けることは難しいかと思います。
門林
だから人間のミスによる事故はなくならないものなのです。ミスや誤認が入り口で、標的型攻撃や情報漏洩などの様々な事案が起きていることが現実ですよね。
そういった意味のリスクベースで考えると、まず不注意な従業員がリスクですし、詐欺に騙されるとか、色んなリスクがあるということです。
藤原
こう言った事故が起こる背景には、ほぼ人が関わっています。従業員の普段の業務の中に、多くのリスクが潜んでいるということですね。
門林
「従業員だけを悪者にすることは、けしからん」という話ではなく、そういうリスク感覚を身に着けることが大事という話なんです。
例えば、営業担当者が社用車でお客様先を回りますが、不注意でクルマをぶつけ、車体を凹ませてしまうことがありますよね。貰い事故とか煽り運転に巻き込まれるといったトラブルもあります。だからといって「従業員だけが、けしからん!」という話にならないし、社用車の使用を止めるという話にもならないですよね。
車を使ったら車体に傷がつくことがあるのと同じくらいの感覚で、ウイルスメールを踏むこともあるし、フィッシングをクリックするかもしれない。そういう捉え方が必要なんです。
藤原
車に乗る時は、安全運転を心がけなければならないですが、心がけていても事故は起きてしまうし、貰い事故もありえる。だからこそ安全管理をどうするのか、法律的にも定められていますし、組織全体で事故が起こりにくい運用の仕方を日々考えないといけないということですね。こうした安全運転が、同じようにITに関しても重要になりますね。
門林
安全運転は大事なのですが、それでもウイルスメールを踏んでしまう人もいます。よって次は、踏んだ時に何が起きたのか把握するということが大事ですね。
車でいえばドライブレコーダーがありますよね。昨今、煽り運転の立件にもドラレコが活用されていますが、本来は事故が起きた際、何が悪かったのかを明らかにするためのツールです。
例えば保険金の支払いに関しては、ドラレコがついているクルマだと、何が原因か情報があるため保険が下りやすくなると聞きますね。
藤原
なるほど。事故は起こりうるので、その状況を再現できることが重要になってくるのですね。

Next Page » インシデントレスポンスからサイバーレジリエンスに向けて

プロフィール
人物 門林 雄基 (かどばやし ゆうき)
奈良先端科学技術大学院大学 情報科学研究科 サイバーレジリエンス構成学 教授
2009年より国際電気通信連合電気通信標準化部門(ITU-T)においてサイバーセキュリティの国際標準化に従事、2013年より同作業部会ラポータ(主査)。
サイバーセキュリティに関する日欧国際共同研究プロジェクト「FP7NECOMA」研究代表者、独立行政法人情報通信研究機構「サイバーセキュリティ研究センター」招聘研究員などを務める。
人物 藤原 礼征 (ふじわら ひろゆき)
トーテックアメニティ株式会社 トーテックサイバーセキュリティ研究所 所長
1974年生・大阪府出身。大阪大学基礎工学部卒業後、大阪大学大学院基礎工学研究科に進むと同時に会社設立。
ソフトウェアアーキテクトとして、ソフトウェアの設計・開発の技術力に内外からの厚い信頼があり、様々な会社や研究機関において研究開発や製品開発に携わる。
2012年「トーテックサイバーセキュリティ研究所」所長に就任。