己の鎖を自慢する奴隷の如きセキュリティに陥らぬ為には? NII 柏崎氏講演 | ScanNetSecurity
2024.03.29(金)

己の鎖を自慢する奴隷の如きセキュリティに陥らぬ為には? NII 柏崎氏講演

国立情報学研究所(NII) サイバーセキュリティ研究開発センター 特任准教授 柏崎礼生氏は、セキュリティにおける可用性の新しい着眼点を提案する。どういうことか。

研修・セミナー・カンファレンス セミナー・イベント
国立情報学研究所(NII) サイバーセキュリティ研究開発センター 特任准教授 柏崎 礼生 氏
国立情報学研究所(NII) サイバーセキュリティ研究開発センター 特任准教授 柏崎 礼生 氏 全 3 枚 拡大写真

 明日3月9日水曜日から11日金曜日まで、東京駅の真向かいにあるJPタワーで総合セキュリティカンファレンスSecurity Days Spring 2022が開催されます。ちょうど一年前、Security Days Spring 2021で開催された名講演があり、本稿はそのレポート記事を蔵出しでお届けします。

 セキュリティ三大要素といえば「CIA」のことをいう。機密性(Confidential)、完全性(Integrity)、可用性(Availability)の頭文字をとった略語だが、可用性だけセキュリティとは相反する用語にも見える。

 少なくとも他の2つとはベクトルが異なる指標でもある。だが、視点を変えると、セキュリティの2大要素に可用性はひとつでバランスしていることになる。それだけ重要な要素かもしれない。

 しかも、CとIが2つなのに対してAはひとつの少数派だ。多数決では負ける運命にある。なぜ三大要素のひとつに数え挙げられているのだろうか。究極のセキュリティはデータをだれにも使わせないこと、もっと突き詰めれば持たないことだ。しかし、それでは仕事にならない。他の2つはデータなどを守ることを主眼に置いているが、可用性は経済的な理由で導入されたと見ることができる。

 国立情報学研究所(NII) サイバーセキュリティ研究開発センター 特任准教授 柏崎礼生氏は、セキュリティにおける可用性の新しい着眼点を提案する。それはどういうものかを氏の講演(Security Days Spring 2021)をベースに整理してみたい。

●インシデント発生時はパニックにならないこと

 柏崎氏は、「銀河ヒッチハイクガイド」にでてくる「パニックになるな」という格言を引用し、有事やインシデント対応で冷静になることの重要性を説く。パニック状態に陥るような状況では、落ち着いた判断ができることが重要だ。冷静な考え、落ち着いた行動が初動ミスによる被害拡大を防ぎ、復旧や回復を早めてくれる。

 近年の情報セキュリティでは、防御力重視から侵入前提の対策やレジリエンス(回復力)が重視される。また、自然災害でもサイバー攻撃でも、システムがダウンするという点では共通しているため、BCP(事業継続計画)やDR(災害復旧)も、しばしば情報セキュリティの文脈で語られる問題だ。

 レジリエンスで重要なのは、パニックにならないことに加え、日ごろの備えでも重要である。事前のリスクや脅威の分析評価に加え、初動対応を含む復旧計画、権限のエスカレーションや緊急時体制を決めておくこと。いざというときに準備していたとおりの行動をするためのシミュレーションを含む訓練や教育も欠かせない。

 しかし、激甚災害やインシデントでパニックに陥ると、備えるだけでは不十分であると柏崎氏は指摘する。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る