強いセキュリティをつくる、プロのマインドセットとは？

一般にセキュリティリスクは、守るべき「資産」と資産に対する「ぜい弱性」と「脅威」の組み合わせで考えるべきとされています。これを、前回の世界観に照らし合わせて、掘り下げてみましょう。

デジタル社会において、セキュリティの観点で「守るべきもの」は何でしょうか。それは、デジタル技術により享受する付加価値ということになります。これまでも資産の価値は、損なわれる付加価値の逆数と考えられていましたから、付加価値に着目するのは自然な考え方です。資産にとらわれず、付加価値を守ると考えを広げることで、情報セキュリティからデジタル社会を守るという視点にアップデートすることができるのです。

情報セキュリティの３要素である機密性、完全性、可用性を維持することについても、デジタル技術を利用して付加価値を得るために必要な観点ととられることで矛盾なくとらえることができます。例えば、機密性の維持が目的ではなく、付加価値を享受するためにどうあるべきかと考えるのです。
これは、制御セキュリティの分野においても、得られる付加価値を守ると考えることで同様に当てはめることができます。

次に「ぜい弱性」ですが、「デジタル技術の活用および進化における未成熟さ」と考えてみてはどうでしょうか。ポイントは、デジタル技術が進化している過程にあるということです。
製品やシステムのバグであるセキュリティホールは、その実装過程が未完成であることを意味し、さらに、新しい技術を適用する際、また、より複雑なシステムを実現する際、その適用・実現技術の未熟さが、守るべきものを脅かす弱点になると考えるのです。デジタル技術の運用面でのミスもそれを担う人間が未成熟であると考えることもできます。

さらに「脅威」は、「デジタル技術に対する悪意のある行為」と対応づけることができます。もちろんより広く偶発的なミスや自然災害による脅威を含め、「デジタル技術の利活用に悪影響をおよぼす事象」、としても構いません。ただし、過去の統計などである程度予測ができる偶発的な脅威に対し、知性を持った攻撃者による悪意による脅威は、対処の困難さのレベルが違うということです。そのため、進化し続けているデジタル技術に対して、悪意を持った攻撃者と善良な防御者が、どちらがより使いこなせるかという競争の構図を意識する必要があるのです。

リスクの考え方は、未来に発生する可能性のある不確かな事象について、予測して許容できる範囲の結果となるためにいかに対処すべきかという問題ととらえることができます。そもそも「不確かな事象」を扱うのですから、客観的に確定的な答えを導き出せるものではなく、デジタル社会において関係者がリスクに関するコミュニケーションをとりながら認識を合わせる必要があります。

ここで、リスクを理解する際に、私たちが気づかないうちに判断を誤ってしまう心理的な要因、認知バイアスの落とし穴に気を付ける必要があります。
例えば、自己正当化バイアスによって、自身の判断や行動を正当化しようという心理が働くと、目の前のリスクを楽観視してしまいがちです。また、同調性バイアスにより、横並びに同じ対策を打てば安心と思ってしまい、リスクに対する判断を放棄する姿勢に陥ってしまうことがあります。

不確実なリスクに対峙する際、認知バイアスにとらわれていないか、悪意のある攻撃者の存在を理解して自身に批判的な視点で考えることも必要なのです。

私たちは、一生を通してさまざまな問題に直面し、それを解決しながら生きています。多くの日本人は、義務教育から高等教育にかけて、答えが用意されている問題を解くためのさまざまなテクニックを身に着けてきました。例えば、答えがある前提で逆算する、出題範囲内で考える、平均値で考える、などです。もちろん迅速な問題解決を行うために有効なテクニックではありますが、セキュリティリスクに対峙する際に障害となることがあります。
例えば、さまざまな攻撃者に対して、平均的な攻撃者像しかイメージできなかったらどうなるでしょうか。攻撃者にも技術レベルや環境やモチベーションが異なる場合があり、相手をよく知らなければ有効な対策はできないはずです。
私たちは、不確定なリスクに対して、将棋の名人が相手の複数の指手に対して準備をするように、想定される複数の仮説を立てて、優先度と対策を準備していかなければなりません。

次回は、デジタル社会のセキュリティを守るための考え方についてお話したいと思います。