制御系システムのセキュリティは全体観とマッピングが必須
それでは、放送の制御系システムでは、どのような考えのもとでセキュリティ対策が行なわれているのか。まず、放送の制御系システムのセキュリティは、可用性を最大限確保するため運用上の制限が多いことが特徴だという。つまり、可用性を担保するためにセキュリティリスクをどこまで許容していいか、その判断が常につきまとう。1つのシステムに様々な機能が組み込まれ、従来の専用コンピュータではなく、汎用コンピュータで成り立っていることから、更新プログラムや再起動が必要な環境であるにも関わらず、容易に実施出来ないのが実情だ。
脆弱性が可能性として残されているシステムについて、いざというときにどのような影響が出るのか、明確な答えを得ることは難しいが、そこをあえて想定し、最悪の結果につながらないように対処方法を判断する必要がある。そして、それを決定するのは、CIOなのかCTOなのか。
熱海氏は「そうした手順こそ決定しておくことが重要」と語る。重要インフラのセキュリティ管理として大切なことは、サイバー攻撃が「発見されているか否か」にリスク判断の軸足を置くのではなく、攻撃が発生した際に起こりうる被害を想定し、発見できた「穴」を“何らかの形で可能な限り早期に”対処する“という「方針を決めておくこと」が大切だ。 そうしたリスクマネジメントを考えると、もはや自社だけで行なうのは不可能に近い。特定のシステムや情報だけでなく、企業としての運用(事業継続)やレピュテーション(評判)を守ることが必要となるからだ。
熱海氏はこれまでの施策を振り返り、「今まで高額なセキュリティ対策を導入してきたことで、単に安心感を得てきただけなのではないか」と自問する。それが本当に役に立ったのか、効果的に効率的にセキュリティに貢献できたのか、本当に意味があったのか――。それはそのまま多くのセキュリティ担当者への問いかけとなるだろう。攻撃者は、システムや組織に内在する脆弱性・弱みを巧妙についてくる。『入れて安心』ではなく、守る側も即時に同じ手法で対策を行うしかない。
そのための方策として、熱海氏が推奨するのは、想定される個々のリスクの相関関係・要因の分析まで踏み込んだ「セキュリティマップ」の作成だ。それも単にシステムリスクの有無の可能性だけでなく、異常と判断する仕組みや被害の影響範囲などに加え、コミュニケーション面などサイバーセキュリティ以外についても多面的・体系的にリスクを洗い出し・分析を行うことが重要だという。
「個々のセキュリティ対策の詳細に踏み込むのと並行し、全体像をとらえることが必要です。天災、設備障害等のリスクはマッピングができています。たとえば、首都直下地震が起きた時、職員はどうやって業務を継続するのか、おそらく一定のルールが設けられているでしょう。同様にサイバー攻撃についても、企業にとっての深刻度に応じた手順を事前に決めておき、誰が判断するのかを決めておくことが大切です」
確かに災害などのリスクに関するマネジメントは、責任者がいて手順も明確化されて、体系化されていることが多い。そこにシステムのセキュリティについてもマッピングしておき、全体の一部として認識するというわけだ。具体的にはリスクのレベルに応じて、対策や責任者を明確化し、図式化しておくとよいという。
こうした意識づけをする意義を、熱海氏は「正常性バイアス」の恐ろしさを踏まえて語る。たとえばちょっとしたマルウェアが来ても、多くの人は「自分は大丈夫」と思い込み、「大したことない」と判断して仕事を続行してしまう。しかし、そうした1人がいれば、全員が被害を被ることに他ならない。それはまるで「自分は詐欺にあわない」と思っている人ほど詐欺の犠牲になりやすいのと大変似ている。「自分には関係ないと思う心理」、それが最終的には組織に大きな被害を与えてしまう。
