*) 学習院大学経済学部教授。Integrated Stratified Strategy of Information Security: An Economics Approach(U). 内容などの連絡先:〒171-8588豊島区目白1−5−1学習院大学経済学部,TEL(DI):03-5992-4382,Fax:03-5992-1007,E-mail: Kenichi.Tatsumi ◎ gakushuin.ac.jp(ご送信される場合◎は@に置き換えてご利用ください。)
本稿は辰巳(2012)の後編であり,節番号や脚注番号は,それに続くものである。
15) 緊急医療の現場で,処理能力をはるかに超える傷病者が到着することがあるので,傷病者の優先順位をつけて,救える命を最大限にするための治療を行うことを,フランス語で「選り分ける」という意味の,トリアージュ(triage)という。この優先順位付けは,「治療すれば助かる可能性の大きい」傷病者の治療を優先する。しかしながら,失礼な言い方であるが,「どうせ死んでしまう」傷病者に貴重な医療資源を使わない方針である。ネットワーク内企業や企業内サブシステムの場合には,そのうち,激しいサイバー攻撃を受けたところは切り捨てるということである。それゆえ,厳密にはこのトリアージュという方針と言葉を情報セキュリティ分野に適用するには問題がある。
16) 現在保有している資産(あるいはポートフォリオ)を,将来のある一定期間保有すると仮定した場合に,ある一定の確率の範囲内(つまり信頼区間)で,マーケットの変動によって,どの程度の損失を被る可能性があるかを計測したものである。保有期間には1日をとって測定し,それを月単位で合計し,平均値を算出する,などの操作を行う。
VaR は,1990年代から欧米の金融機関で利用され始め,1993年に発表された第2次BIS 規制において金融機関の市場リスク管理手法として採用が推奨され,日本でも急速に普及した。
17) 人的構成をどうするべきかについては,いくつかの参考になる事例がある。例えば,店舗において深夜に従業員が一人体制で就業するのが恒常化すれば,それが知られてしまうことが要因となり,強盗事件が高頻度で発生する。それを避けるためには,他の防犯策もあるが,深夜の複数従業員制を採用するのが1つの対策である。強盗事件にお客様が巻き込まれる可能性が低くなる。
セキュリティ部門の要員数が少なければ,この事例と同様に,サイバー攻撃に晒される危険が増えるだろう。
18) RSA Conference Japan 2010(2010年9月9日)の基調講演で,米EMC のセキュリティ部門であるRSA のプレジデントのコビエロ(Coviello)氏は,「その多くが連携せずに個別に動作しているのが現状」と次のように指摘した。
IT インフラにはマルウェア対策やファイア・ウォール,認証,暗号化といった製品が多数導入されているが,それらがカバーするのはそれぞれ単一の側面のみ。しかも,複数のベンダーにまたがって管理を行う必要があり,ログやレポートも個別に吐き出されてくるという混乱した状況だ。
コビエロ氏は,3つのレイヤからなるセキュリティ・アーキテクチャを提唱した。まず一番下には,ポリシーを実行に移す「コントロール」層がある。そして次に,それらを監視し,ログの収集やプロビジョニングを実施する「コントロールの管理」層がくる。そのさらに上に,ガバナンスやコンプライアンス,リスク管理といった観点からポリシーを定める「ガバナンスとモニタリング」層が位置するという構図だ。
そして,包括的な管理を実現するには,「ボトムアップではなく,まず高いレイヤから取り組むべき」(コビエロ氏)。
山下(2011)なども多層防御を考察している。
19) パターン認識による方法の例はいくつもある。クレジットカードの不正利用発見では,繰り返し起こるユーザーの利用パターンを学習することで,そこから外れた利用を追究できる。保険金の請求などにおいて,請求の内容だけでなく,地理的時間的データなどを組み合わせることで,繰り返し起こるパターンを見いだし,不正請求者を突き止めることができる。
20) テーマは遡るが,日本企業に独特な問題をもう1つ,ここであげておこう。日本では,経営トップの正しい認識と企業としての取り組み方針をトップ自ら示す必要がある。上から指示がないかぎり,日本企業には強い現場主義があるので,セキュリティ・イベントが起きたら,まず現場で何とか解決しようとする。
そして現場ではどうしようもなくなるまで上には報告しない傾向がある。その結果対応の遅れが生じることになる。
被害が拡大し,情報セキュリティの専門家が駆けつけても手の打ちようがない状態に至る最悪の場合を避けるために,未然に報告マニュアルなど対応策を決めておくべきなのである。
21) 非互換排除が達成されない場合には,並列的に繋ぐしかない。ある1つのセキュリティ機能を達成するために複数の機器が例えば第一層に設置され,それらが繋がれる,非効率な構成になる。
22) クラウド・セキュリティについて1点だけ述べておきたい。ある特定の攻撃の有る無しが明瞭である,比較的安定的な攻撃サイクルがある場合,あるいは予想不可能な攻撃増加がある場合,クラウド・セキュリティを導入するべき環境であり,奨められる。