「セキュリティ」と「多様性」、一見結びつかないように見えるこの2つのキーワードですが、今回は「多様性」の理解が今日の「セキュリティ」を考えるうえで重要であるという話です。
「多様性」とは何かについてはテーマが広いため、まずは以下のブログをご覧になって頂ければと思います。
記事の冒頭の「9+6=3は正しい?」の問いをご覧になって頂くと、中にはピンとくる方もいらっしゃるも知れません。ベストな対策だと思ったものが関わる組織や人々によっては不十分であったり過剰であったりした経験はないでしょうか。現実的で受け入れやすいセキュリティ対策の実現が難しい理由は多様性が考慮されていないことが一因となっている可能性があるかも知れません。
経済産業省は2020年11月5日、「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を発表しました。これは2019年4月に同省が発表した「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」のフィジカル空間に当たる「第1層」とサイバー空間に当たる「第3層」が接続される「第2層」にフォーカスしたフレームワークで、社会のデジタル化の深化によって目指される「Society 5.0」をセキュアに実現するために考察されたものです。
※出典:IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました (METI/経済産業省)
IoT-SSFでは幾度も「多様性」に言及していますが、基本構成の背景にある考え方として以下のように定義しています。
サイバー空間とフィジカル空間をつなぐ新たな仕組みには様々な形態及びそれに伴うセキュリティ上の課題があり、更に、実際にインシデントが発生した場合の被害の態様も極めて多様である。そのような仕組みを構成する機器・システムに対して一律のセキュリティ要求を設定した場合、仮にその要求が満たされていても、それでは多様なセキュリティ上の課題に十分に対応することはできない。すなわち、利用者等が適切に守られる状況であるとはいえない。
第2層のセキュリティ対策を検討する際のポイントは、この多様性に対してどのようにアプローチするのか、ということである。
デジタル化によってサイバー空間(コンピュータネットワーク側)とフィジカル空間(現実空間側)との相互のデータ連携が増加すると、この多様性を意識したセキュアな環境の持続が大きな課題です。自組織で抱える新技術を利用したシステムについてCPSF、IoT-SSF等を参考にしながらセキュリティ対策を考察していくと意外な盲点が見えてくるかもしれません。
多様性はそれを正しく理解し、さらに生かすことが重要だとされています。そのためには、まずは正しく(自身との違いを)知ることが必要です。
一方、セキュリティ対策における多様性の理解とは、一言で言えば、保護対象となるシステムやサービスの全体を詳細に理解することですが、広範なビジネス領域を想定した対策はセキュリティ専門家だけでの実現は困難です。
そのため、利用者も含めたシステムに関わる全ての方がセキュリティの基礎知識を身に着けたうえで、各々の専門性を背景に必要なセキュリティ対策をセキュリティの専門家を交え、実装出来るような環境を用意しておくことが効率的、かつ効果的だと言われています。組織全体でセキュリティのリテラシーを上げていくことは企業価値の向上にも繋がりますので早めの着手がお勧めです。
経済産業省は2020年11月9日、企業がDX(デジタルトランスフォーメーション)の取り組みを進めるにあたり、経営者に求められる企業価値向上に向け実践すべき事柄を「デジタルガバナンス・コード」として発表しました。そこには情報処理促進法に基づく認定制度(DX 認定制度)についても触れてあり、認定基準の1つにセキュリティが挙げられています。
戦略の実施の前提となるサイバーセキュリティ対策を推進していること。
防犯対策と同様、セキュリティ対策が遅すぎるということはありません。
複雑化する環境においてはセキュリティの知識と多様性の理解をうまく活用しながら、組織にあった戦略的で現実的な対策を考えていく必要がありそうです。
トレノケートでは、これからセキュリティに携わる方への基礎的なコースから、セキュリティを専門に扱う技術者の方が最新技術に対応するための学びなおしや資格取得を目的としたコースなど、幅広いコースをご用意しています。ぜひご活用ください。