SHARE Twitter Facebook Google+ はてなブックマーク LinkedIn

「家庭における火災対策」と「サイバーセキュリティフレームワーク」

株式会社NTTデータ 技術革新統括本部 システム技術本部 セキュリティ技術部 課長代理

金澤 瑠維

情報セキュリティの3要件としては、(1)可用性、(2)機密性、(3)完全性、が広く知られている。今回から3回に渡り、現実世界でのリスク対策とサイバー空間でのセキュリティ対策を比べながら、それぞれの要件について考察したい。
まずは、(1)可用性 に関して、現実世界の代表的な事故である“火災”を題材に、サイバーセキュリティのイメージをつかんでほしい。

1.はじめに

突然ですが、「サイバーセキュリティ」という単語から何を思い浮かべますか?
「難しい」、「自分とは関係ない」、「専門家に任せるべきもの」などの印象をお持ちの方も少なくないでしょう。

それでは、「火の用心!マッチ一本、火事のもと!」というフレーズを目や耳にしたときはいかがですか?
消火器や消防署、避難訓練、あるいはガスコンロやストーブなど、家庭内での火の取り扱いを容易に連想できたのではないでしょうか。

サイバーセキュリティは取り扱う資産や事象が目に見えないため、どうしても直感的なイメージには結びつきにくいものです。そこで、サイバーセキュリティの「難しい」印象を払拭するため、多くの人が実践している家庭内の火災対策とサイバーセキュリティ対策を比べてみたいと思います。

2.可用性とは

JIS Q27000:2014の定義によると、可用性(availability)とは「認可されたエンティティが要求したときに、アクセス及び使用が可能である特性」とあります。(※1)つまり「許可された者が、使いたいときに使える特性」であり、可用性に対する攻撃とは「使いたいときに使えなくする」ことです。
現実世界の可用性に対する攻撃は「物体を破壊する」だけでなく、「知らない間に金庫の鍵を変更する」も当てはまります。さらには、「とても長い行列に並ばせる」とか「自動車をガソリン切れになるまで走らせる」も「使いたいときに使えなくする」攻撃になります。
今回は現実世界における可用性への攻撃として、火災を取り上げます。

3.サイバーセキュリティフレームワークと家庭内の火災対策

米国の国立標準技術研究所(NIST)が公開している「重要インフラにおけるサイバーセキュリティフレームワーク」(”Framework for Improving Critical Infrastructure Cybersecurity”)は、多くの企業で利用されているサイバーセキュリティ対策の代表的な枠組みです。(※2、※3)
サイバーセキュリティフレームワーク(以下、CSF)では、対策を「特定」、「防御」、「検知」、「対応」、「復旧」の5つの機能に分類しています。それぞれを家庭内の火災対策に当てはめてみます。いずれも、幼い頃から経験的に学んできたことばかりではないでしょうか?

図表1

図表1.火災とサイバーセキュリティフレームワーク

4.事前準備の重要性

万全の対策を施しても、火災を“防災”し、発生をゼロに抑えることは極めて困難です。そのため近年は、被災してしまった際の被害を小さくする“減災”を目的とした準備の重要性が一般的になってきています。CSFに当てはめると、火災の発生前に実施すべき防災フェーズが「特定」と「防御」、火災発生後の減災フェーズが「検知」「対応」「復旧」になります。
さて、火災発生後の「対応」に該当する次のような行動に、パニックを起こさずに対応できそうか想像してみてください。

  • ・初期の小さな炎は、備え付けの消火器で速やかに消火する。
  • ・自らの手に負えないと判断した場合は、速やかに避難し、消防署に通報する。

あなたは、家庭の消火器の設置場所、種類、使い方を即答できますか?万が一の際も、消火器の設置場所を知っている、さらには、消火訓練で実際に使用した経験がある、という場合はスムーズな対処ができ、火災を大きくせずに済みます。これはサイバーセキュリティでも同様で、事前準備がなければ即時の対応は非常に難しくなり、被害は増大します。

図表2

図表2.初期消火の重要性

5.おわりに

CSFの5つの機能に関して、家庭内の火災対策とサイバーセキュリティ対策を比べてみても、大きな相違は少ないようです。

図表3

図表3.「家庭内の火災対策」と「サイバーセキュリティ対策」

このように、「難しい」と思われがちなサイバーセキュリティも、基本的な考え方自体は、それほど複雑なものではありません。対策の具体的な内容に専門的な用語や技術が多くなることはサイバーセキュリティだけでなく、物質の発火温度や延焼条件などの専門性が求められる火災でも同様です。専門領域は大切ですが、「すべてを専門家に任せるべきもの」と臆さず、まずは大枠を知り、出来るところから始めるプローチが“減災”につながります。
本稿により、サイバーセキュリティは「自分とは関係ない」ものではなく、家庭内の火災対策で日頃から実践していることと大して変わらない「当たり前のこと」と感じていただければ幸いです。

  1. ※1 日本工業標準調査会
    http://www.jisc.go.jp/index.html(外部リンク)
  2. ※2 NIST
    CYBERSECURITY FRAMEWORK
    https://www.nist.gov/cyberframework(外部リンク)
  3. ※3 独立行政法人 情報処理推進機構
    重要インフラのサイバーセキュリティを向上させるためのフレームワーク
    https://www.ipa.go.jp/files/000038957.pdf(外部リンク)

Profile

金澤 瑠維
株式会社NTTデータ 技術革新統括本部 システム技術本部 セキュリティ技術部 課長代理
金澤 瑠維

セキュリティ対策サービスの企画・導入や顧客システムにおけるセキュリティ対策の設計、構築および運用に従事。現在は、NTTデータおよびグループ会社がお客様に提供するシステムに対するセキュリティコンサルティングを担当。