IoTは日本企業への警告である/セキュリティの十戒

2016年1月26日

 IoTは日本企業への警告である―――24時間「機械に監視される時代」のビジネスの条件

 

 

LINE画面流出の話題が尽きないが、スマートフォンも広義の意味で捉えればIoTの機器の一つである。そのようなデバイスが社会全体に拡がり生活に浸透すれば、今後も思わぬ展開の事件が起こるだろう。本書にはサイバーセキュリティ分野に精通している著者からみたIoTのこれからが描かれている。

 

その中の「セキュリティの十戒」の章は、IoTだけではなく物事をシステムとして捉える際の思考のフレームワークとしても参考になるので、引用とともにまとめておく。

 

尚各項目にある書籍や動画などは私の思いつきで貼ったものであり、本書とは全く関係ないことをご了承頂きたい。

 

 

 

1 Confidentiality 機密性は守られているか


 

スパイ映画などを観ていると、封筒に「Confidential」とハンコが押されているシーンをよく見かけるが、セキュリティの基本は「許可された者だけが情報にアクセスできる状態を守ること(p.89)」である。

 

L.A.コンフィデンシャル 製作10周年記念 [DVD]

 

 

2 Integrity その情報は正確で完全か


 

 「情報が破壊されたり改ざんされないように守ること(p.92)」。例えば書類などが第三者によって書き換えられないようにすることである。

 

 

3 Availability いつでも途切れることなくアクセスできるか


 

 「システムが正しく稼働して情報にアクセスできる状態を守ること(p.94)」。アノニマスの攻撃によって企業のウェブページが見られないといったニュースはもはや日常茶飯事だ。IoTの観点から言えば、筆者の言うようにトンネルなどで通信が途絶えてしまうこともAvailabilityの欠落である。

 

 

4 Authentication アクセス権限はあるか


 

「権利の保有を確認、証明して情報へのアクセスなどを認めること(p.97)」。コンビニなどの防犯カメラのリアルタイム映像が一覧としてまとめられ、第三者も見られるようになっているロシアのウェブサイトが話題となっている。その例で言えば、Authenticationとはつまり、防犯カメラを利用するオーナーがしっかりとパスワードを保持し、第三者に漏れないよう正しく管理することを指す。

 

 

5 Authorization 誰にどこまで許可を与えるのか


 

「利用者の権限を確認して適切な許可をだすこと(p.102)」。これも先の例で言えば、誰が(オーナー、アルバイト等)どこまで(店舗内、自宅等)その防犯カメラの映像を見られるようにするかだ。

 

 

6 Accountability そのログで責任は果たせるか


 

筆者も言うように、この概念はよく企業問題などで取り上げられるような倫理的な視点、「説明責任」とは少し意味が違う。セキュリティの観点から言えば、「システム上の出来事を正しく記録して責任を果たせる状態を守ること(p.106)」である。端的に言うと、ログ(痕跡)をしっかりと残し、運用していくということだ。不正やトラブルがあっても確実にそれを追及できなければならない。

 

主体的に動く アカウンタビリティ・マネジメント

 

 

7 Non Repudiation 後から否認されるおそれはないか


 

「システム上の行為を後で否認されないように証明すること(p.108)」。これも6のようにしっかりとログを残すということが大前提だ。この項目が必要なのは、ユーザがそのログを刻んだ過程が正規の方法なのかを納得できているかどうかである。そのログは嘘だと言えば元も子もない。そのようなことが言えないようなメタ的なシステム構成も必要である。

 

 

8 Privacy 本当に守るべき情報は何か


 

「収集、保存、処理などを行った個人情報を守ること(p.113)」。SNSなどにおいて個人の活動は、どこまで公表すべきかというテーマも含まれている。マイナンバーももちろん情報が漏れたらひとたまりもないが、正しく活用されれば行政における利便性は確実に良くなるだろう。プライバシーは、その時代や社会システムによって見方が大きく変わるということだ。

 

 

 

9 Diversity 多様性こそが力になる


 

「あらゆる脅威から破綻を防ぐ多様性を備えること(p.116)」。筆者は「コスト・オブ・アタック」という概念を挙げている。ドアの鍵が増えれば増えるほど、解除するための時間(コスト)がかかる。ドアの前に犬がいたらどうだろう。泥棒はその犬をおびき寄せるために高級ドッグフードを持参せざるを得ないのかも知れない。それもまたコスト・オブ・アタックとしての考え方だ。つまり、攻撃としても守りとしても様々なシーンを想定してみるということだ。

 

セキュリティとは全く関係ないが多様性の持つ力がよく分かる解説

 

 

10 Resilience したたかに,しなやかに立ち上がる


 

「脅威によって受けたダメージから回復する能力(p.120)」。この言葉も、個人のトラウマ回復といった心理学用語から企業の柔軟な組織作りのように、様々な側面において語られている。IoTにおいては、攻撃によってダメージを受けたり既にトラブルが起きてしまった際の臨機応変な体制作りのことを言う。

 

世界のエリートがIQ・学歴よりも重視!  「レジリエンス」の鍛え方

にほんブログ村 本ブログへ
Copyright © 2020 アクト・オブ・リーディング All Rights Reserved.  プライバシーポリシー