明日3月9日水曜日から11日金曜日まで、東京駅の真向かいにあるJPタワーで総合セキュリティカンファレンスSecurity Days Spring 2022が開催されます。ちょうど一年前、Security Days Spring 2021で開催された名講演があり、本稿はそのレポート記事を蔵出しでお届けします。
セキュリティ三大要素といえば「CIA」のことをいう。機密性(Confidential)、完全性(Integrity)、可用性(Availability)の頭文字をとった略語だが、可用性だけセキュリティとは相反する用語にも見える。
少なくとも他の2つとはベクトルが異なる指標でもある。だが、視点を変えると、セキュリティの2大要素に可用性はひとつでバランスしていることになる。それだけ重要な要素かもしれない。
しかも、CとIが2つなのに対してAはひとつの少数派だ。多数決では負ける運命にある。なぜ三大要素のひとつに数え挙げられているのだろうか。究極のセキュリティはデータをだれにも使わせないこと、もっと突き詰めれば持たないことだ。しかし、それでは仕事にならない。他の2つはデータなどを守ることを主眼に置いているが、可用性は経済的な理由で導入されたと見ることができる。
国立情報学研究所(NII) サイバーセキュリティ研究開発センター 特任准教授 柏崎礼生氏は、セキュリティにおける可用性の新しい着眼点を提案する。それはどういうものかを氏の講演(Security Days Spring 2021)をベースに整理してみたい。
●インシデント発生時はパニックにならないこと
柏崎氏は、「銀河ヒッチハイクガイド」にでてくる「パニックになるな」という格言を引用し、有事やインシデント対応で冷静になることの重要性を説く。パニック状態に陥るような状況では、落ち着いた判断ができることが重要だ。冷静な考え、落ち着いた行動が初動ミスによる被害拡大を防ぎ、復旧や回復を早めてくれる。
近年の情報セキュリティでは、防御力重視から侵入前提の対策やレジリエンス(回復力)が重視される。また、自然災害でもサイバー攻撃でも、システムがダウンするという点では共通しているため、BCP(事業継続計画)やDR(災害復旧)も、しばしば情報セキュリティの文脈で語られる問題だ。
レジリエンスで重要なのは、パニックにならないことに加え、日ごろの備えでも重要である。事前のリスクや脅威の分析評価に加え、初動対応を含む復旧計画、権限のエスカレーションや緊急時体制を決めておくこと。いざというときに準備していたとおりの行動をするためのシミュレーションを含む訓練や教育も欠かせない。
しかし、激甚災害やインシデントでパニックに陥ると、備えるだけでは不十分であると柏崎氏は指摘する。
