ページの本文へ

Hitachi
お問い合わせお問い合わせ

強いセキュリティをつくる、プロのマインドセットとは?

第1回:セキュリティの世界観

デジタル社会の目覚ましい発展において、セキュリティの担当者は、それぞれの業務におけるセキュリティの課題を解決し、付加価値を発揮することが求められています。そのためには、セキュリティの全体像をとらえバランスの良い判断を行うためのマインドセットが大切と、日立製作所 シニアセキュリティスペシャリスト 千葉寛之は語ります。千葉がデジタルセキュリティのプロとしてのマインドセット醸成するヒントをお話しするこのシリーズ。第1回は、正しいデジタルセキュリティ業務を行ううえで大前提となるセキュリティの正しい世界観を共有していきたいと思います。

コンピューターの発明よりセキュリティが先!?

コンピューターよりセキュリティが先と聞いて、意外に思う方もいるかもしれませんね。セキュリティの語源は、心配から離れた状態を意味するラテン語から来ているそうですが、私たちの日常生活においても、防犯の意味でセキュリティという言葉を使うことがあると思います。端的に言うと、どこの世界でも悪い人間がいるので、その対策をしなければならない、ということです。野生動物は他の動物の食料を横取りしても誰かに怒られることはないので、人間が共存・繁栄するために社会というルールの中で何が悪いことかを決めてきたためと言えるかもしれません。

情報は物理法則に従わない

1940年代にプログラム内蔵式デジタル計算機が発明されて以降、計算機およびネットワークの性能が向上し、利活用が進んでいます。このコラムではデジタル技術と呼ぶことにしましょう。当初「情報処理」という言葉に示されるように、デジタル技術は「情報」を取り扱うことに主眼が置かれていました。人、もの、金と並ぶ第4の経営資源といわれることもあり、情報を活用することによりさまざまな付加価値を得ることができます。情報は重さも形もなく、簡単に複製できたり、瞬時に世界の裏側まで伝播したり、物理法則に従わないため、人類が有史以来、経験してきた物理的な資産の取り扱いとは異なるため、さまざまな仕組みが必要です。さらに情報を悪意のある人間から守るために、情報およびそれを取り扱うシステムの健全な状態を守る「情報セキュリティ」という概念が生まれました。

デジタル技術の発展に伴うセキュリティの変化

デジタル技術が発展すると、従来の機械的な制御をコンピューター制御に置き換え、高度な機能を追加したり遠隔操作したりすることが可能になってきます。そこで静的な情報でなく、より動的な「制御された状態」を守るセキュリティの必要性が高まりました。

デジタル技術は、世界中にネットワークを張り巡らせ、サイバー空間を発展させました。その結果、情報資産だけを守るのではなくサイバー空間を守る「サイバーセキュリティ」という用語が使われ始めました。

制御システムに対するセキュリティに対して「サイバーセキュリティ」と呼ぶことがありますが、両者は等価ではありません。また、ITとOTが対比して語られることがありますが、どちらも要素技術としてデジタル技術を活用している点は同じであり、OTの守るべき対象が、付加価値を生み出している「制御された状態」であることは正しく理解しておきたいところです。

さらにIoTの進化により社会インフラなどのデジタル化が加速するのに伴って、守る対象が我々のデジタル社会全体に広がっています。本コラムでは、情報セキュリティとサイバーセキュリティを包含してデジタル社会を守るという意味で、「デジタルセキュリティ」と表現することにします。

このデジタル技術の間断のない変化は、裏を返せば、新しい脅威が生まれ続けていることを意味します。良識あるエンジニアだけでなく悪意のある人間も最新のデジタル技術を学び、変化によって生まれた綻びを狙っています。この時に厄介なのが、デジタルセキュリティの非対称性です。すなわち全方位にわたって完璧に守らなければならない防御側に比べて、一点の脆弱性を突けばいい攻撃側の方が圧倒的に有利なのです。デジタルセキュリティ従事者は、攻撃者に負けずにデジタル技術を理解し駆使することにより新しい防御の仕組みを考え出し、実行することに尽力しなければなりません。

デジタルセキュリティ

不連続な変化とセキュリティ対策

デジタル技術の進化においては、不連続な変化が思いがけなく起こります。現状の改善や効率化といった連続する変化が続く中、不随意にこれまでの流れを一新する変化が起きることがあります。例えば、パーソナルコンピューターの登場、インターネットの実現、クラウドコンピューティングの普及、スマートフォンの浸透、そして生成AIの出現です。こうした不連続な変化は、新しい市場を創出したり、業界を再編したり、社会構造までつくり変えますが、それに伴って従来のセキュリティ対策で対処できないスキも数多く生じさせてしまいます。

デジタルセキュリティ従事者は、不連続な変化により現状の対策の有効性が消失する可能性に注意を働かせる必要があります。不連続な変化に対しては、攻撃者に先んじて想像力をフル稼働して対策の改善に取り組まなくてはなりません。

生成AIの進展

いま私たちは、生成AIの著しい進展を目の当たりにしています。これこそ不連続な変化だと言えるでしょう。デジタルセキュリティのプロフェッショナルの皆さんは、この変化の本質を捉え、ビジネスに生じる脅威を洗い出し、とるべき対策を迅速に実行に移さなければなりません。

次回は、今回お伝えした世界観を踏まえ、セキュリティに不全が生じるのは一体どのような時か、考えてみたいと思います。

千葉 寛之(ちば ひろゆき)

千葉 寛之(ちば ひろゆき)

株式会社 日立製作所 クラウドサービスプラットフォームビジネスユニット マネージド&プラットフォームサービス事業部 セキュリティサービス本部 シニアセキュリティスペシャリスト

1988年日立製作所入社、並列型スーパーコンピューターの研究やオブジェクト指向によるソフトウェア開発、要求分析に従事した後、1996年より消費者EC向け決済プロトコルの開発・標準化プロジェクトに参画したのをきっかけにセキュリティを生業とする。公開鍵基盤(PKI)導入、ISMS取得支援、セキュリティアセスメント、CSIRT構築支援など、多数のコンサルティング実績あり。現在は、高度セキュリティ人財育成およびセキュリティプロフェッショナルサービス推進に従事。

12年前にランニングを始め、2024年は、長崎県の橘湾岸の大会で5月に217km、11月に276km完走した。

日本セキュリティ・マネジメント学会副会長、同ITリスク学研究会幹事、情報処理安全確保支援士実践講習認定講師、慶應義塾大学大学院メディアデザイン研究科附属メディアデザイン研究所 所員。

*
PKI: Public Key Infrastructure
*
ISMS: Information Security Management System
*
CSIRT: Computer Security Incident Response Team