★☆★JNSAメールマガジン 第8号 2013.4.19.☆★☆
最近私たちの周りには、大きなリスクをもたらしかねない事象・事案がしば しば見られます。安心、安全を確保する基本は、脅威やリスクを正しく把握し適 切な対応を行うことだと思うわけですが、現実の世界の中ではどうなのか、リス ク発見、把握に関して見てみたいと思います。例えば、昨今の日本をめぐる国際 情勢はどうでしょうか。緊張の高まりへの対応が国際的に議論され報道されてい ますが、私から見ると、リスクの具体像がよくわからず、先行きも不透明でたい へん不安です。米国議会でも落としど ころの不明確さが指摘されているようです。人の考え方や行動に依存するリスク を把握することの難しさが表れているように感じます。
一方、テレビでは2011.3.11の大地震を契機としたさまざまな科学的検証の取り組みが盛 んに放映されています。プレート間の摩擦係数極大部分が大地震の原因であるとするアス ペリティ・モデルの検証、本州東北部が数メートル東へ移動して活断層を刺激し震源から 400km圏で多数の地震を誘発していることの検証、存在が判明している活断層の構造詳細 調査、存在が判明していなかった活断層の探索など、です。簡単なことではないと思いま すが、脅威やリスクに対する認識を高め、有効な対策に繋がることが期待されます。
情報セキュリティの世界ではどうでしょうか。Mandiant社の報告書に係る件、韓国へのサイバー攻 撃に係る件、Torの利用に係る件など、最近の事案では、やはり脅威やリスクの発見・明確化や原 因究明に立ちはだかる難しい要素がとても多いと感じています。
起こってしまった事件はともかくとして、今後に向けた取り組みをどう見るべきでしょうか。
いま全世界でスマートコミュニティ構築への志向性が高まっています。
資源の合理的、
効率的な利用や安心、安全の確保により、持続し発展できる社会を作ろうと
いう取り組みです。昨年12月時点の集計では世界で500件超のPJが動いています。
従来個別に運用されていたインフラが情報通信技術で結ばれ、情報のやりとりに大き
く支援されながら資源利用の効率化などを図るのが一般的な姿です。
このようなしくみにどんなリスクがあるのか、私たちは良くわかっていると言え
るでしょうか?あるいは、このような大規模、広域、国境を越える関係組織の多い対
象について、誰もが使えて、科学的に脅威やリスクを導出する手段を持っているでし
ょうか?今は、残念ながら私は否と答えなければなりません。
一例として、制御システムがあります。工場やプラントやビルの中 には多くの機械、制御システムがあります。それらはどこかでイン ターネットに繋がっているかもしれません。どんな脅威やリスクがある のかは個々の機械の特性に依存していることもあります。構築や運用面 でなんらかの基準が必要ではないか、国際的に通用する製品の検証の仕 組み、安全性を高める新技術も必要、ということで、技術研究組合 制御 システムセキュリティセンターが昨年の春から活動を行っています。普及 啓発、人材育成やインシデント対応などもふくめ社会への貢献を狙っています。
もう一つ気になることとして医療システムがあります。電子カル テは、1999年の厚生省の文書「診療録等の電子媒体による保存につ いて」により成立しました。それ以来、医療情報システムは、規格 標準化、製品化の両面で発展してきました。電子カルテセキュリテ ィの検討は先の厚生省文書に先行して1995年ごろから業界団体です でに始まっており、最近に至るまで、医療情報セキュリティとして 様々な形で検討されてきました。一方、身体に装着してネットワー クで制御される医療機器(インシュリンポンプなど)における脆弱 性の指摘(コマンドを改ざんし注入量を不正に操作する)は重要な ものと理解しています。ある意味で、患者さんの身体を一つの構成 要素とする制御システムの脆弱性、だからです。しかし、その脅威や リスクはプラントの制御システムとは別物と考えるべきで、検討は 不十分と考えています。米国では昨年ICS-CERT(産業用制御システ ムを対象とするコンピュータ緊急対応チーム)が活動対象にとりこむ など一定の活動がありますが、日本でも活動活性化が求められます。
以上、最近のリスクの発見、明確化という面を見てみました。いま、 スマートコミュニティ、制御やヘルスケアというキーワードのために セキュリティ分野の人々は忙しくなっています。JNSAの役割も大きく重 くなっていくと考えています。
本WGは、JNSAのWGの中でも新しい、そして少し変わったWGです。
現在は、月に1回くらいのペースで集まり、勉強や、知見の共有を行っている段階です。本WGでは、セキュリティを「 組織のオペレーションが、きちんと回っている状態」を指すものと、いわゆる「情報セキュリティ」を超える形で広く 捉え、組織で働く人間の、これに悪影響を及ぼす行為について考えて、その根本要因に働きかけることを考えています。
情報セキュリティのみならず、人事や総務など幅広い知見をもった方をメンバーとして歓迎します。