オブザーバの柳原です。潜水艦や原子力発電プラントを製造している三菱重工のサーバやパソコンが、サイバー攻撃によってコンピューターウイルスに感染する被害を受けたニュースが話題になっています。今回は、こうした事件で問題となる、情報セキュリティの分析に関わる疑問点と対応策を考えてみます。

目次

１．情報セキュリティの3原則とリスク

２．情報システムのリスク分析と問題点

３．リスク社会論から見る「新しいリスク」

４．予防と警戒

１．情報セキュリティの3原則とリスク

米国の防衛産業（ロッキードマーチンなど）は以前からこうしたサイバー攻撃に晒されていましたし、日本の省庁関係のサーバでも事件は起こっていました。ですから、今回のニュースは情報セキュリティに関心のある人にとってはさほど目新しいものではありません。

ただ今回は、日本を代表する防衛産業のサーバがサイバー攻撃を受けた、という点で問題視されています。攻撃されたサーバが、中国に向かって情報を送信していたという報道もあり、この事件は国防問題にまで発展しています。機密情報の漏えいは確認されていない、というアナウンスは流れていましたが、それは「確認されていない情報漏えいがあった可能性がある」という意味とも解釈できます。

さて、こうした報道があると、必ず出てくるのが情報セキュリティのあるべき姿を次の3原則が確保されていたのか？という問いです。
・情報の機密性の確保
・情報や処理方法が確実に行われる完全性の確保
・利用できる時に使用できる可用性の確保

この3原則は情報セキュリティに関する参考書を読むと、必ず出てきますし、日本情報処理開発協会が発行しているISMS認証基準にもなっています。組織の情報資産をさまざまな脅威から守り，安全を維持するために必要であると書かれています。この3原則は、情報セキュリティ対策が目指す究極の状態です。この状態を実現し、維持できるのが理想なのです。

しかし現実には、情報の機密性，完全性，可用性をそれぞれ脅かすリスクが存在しています。リスクの観点から考えると、ゼロリスクという状態はあり得ません。また、情報システムが稼動している時は、常にハードウェアやソフトウェアが動作し、その上で常に変化するデータが存在します。稼動途中で、新たな脆弱性が見つかることもあります。同時に、ネットワークを介して他の情報システムからの影響を受けます。すなわち、情報システムのリスクは常にゼロではなく、同時に機密性、完全性、可用性の確保の度合いは常に変化している、ということです。では、そうしたリスクはどうやって分析するのでしょうか。

２．情報システムのリスク分析と問題点

リスクマネジメントの基本となるリスク分析の手順は、最初にリスク因子を特定し、そのリスクの大きさを計算します。通常のリスク（例えば交通事故など）であれば、

[リスク] ＝ [確率] × [影響の重大性]

で計算します。確率などが定量的に分からない場合は、1～5などのランクを付けて計算します。

情報システムの場合には、

[確率] ＝［事故の発生の可能性］＝［脅威］×［脆弱性］
[影響の重大性] ＝ [情報資産の事故の結果の重大性］＝［情報資産の価値］
という値を用いて、

[リスク］＝［脅威］×［脆弱性］×［情報資産の価値］
となります。こちらも、定量的に分からない場合は1～5などのランクをあてはめて計算します。

と、ここまでは情報セキュリティのリスク分析を解説している参考書であれば、どこにでも書いてあります。しかしこの情報システムのリスク分析には、大きな落とし穴があります。それはこの計算をする前段階の「リスク因子の特定」です。

情報システムとは関係の無い、身近なリスクを考えてみればわかります。ある交差点での交通事故に関するリスク因子をリストアップしたとしましょう。交差点は事故が起こり易いところで、事例も多いため、数多くのリスク因子を想定することができます。そもそも、事故は目に見えますからね。

これに対して、情報システムにおけるリスク因子の特定はどうでしょうか。情報システムそのものの置き場所や入退室管理、盗難対策などのハード面での対策は比較的に特定しやすいものです。目に見えるものが多いですからね。

しかしシステムそのもの、すなわち、ファイアウォールやソフトウェアの脆弱性対策、アクセス制御、アンチウィルス・アンチマルウェアソフトウェアに存在するリスク因子はすべて特定できるでしょうか？特定できた場合は、技術的に対策すればよいのですが、リスク因子に気づかない場合はどうなりますか？そもそも、使用しているすべてのソフトウェアに対して、脆弱性のテストは実施しましたか？テストを実施したとしても、そのテストそのものは完全でしょうか？

こうして考えていくと、リスク因子をすべて特定することが不可能である以上、情報システムのリスク分析には限界があると思うのです。特にシステム内に散在している脆弱性をすべてリストアップするのは不可能でしょう。

３．リスク社会論から見る「新しいリスク」

こうして考えていくと絶望的な気分になってきますが、この状況はリスク社会論では当然のことなのです。リスク社会論では「リスク」の類型として、次の三つが挙げられています。ここでは三上剛史氏の「社会の思考－リスクと監視と個人化－」（学文社,2010）から要約して紹介しましょう。
http://www.amazon.co.jp/dp/4762020613
要約した文章に問題があれば、それは柳原の読解不足でありお詫びします。

(1)初期資本主義の企業家や遠隔地貿易に伴う危険などの「伝統的リスク」
遠洋航海における海難事故など、一定の仕事や職業に付随するリスクである。あえてそのような活動に携わろうとする者の自己責任が前提とされており、保険の起源の一つ。

(2)失業や労働災害など、近代産業社会がその福祉国家的保険制度の対象として社会的に保障しようとした「産業－福祉国家的リスク」
近代産業社会において、一般市民が一定の統計的確率で被るリスクであり、事故・災難、生活波乱、疾病などが代表的である。産業社会は、工業製品を通じて社会的繁栄と成長を目指すと同時に、産業的・社会的リスクを保障する必要があった。それが福祉国家の役割であり、失業保険、健康保険、年金、生活保護などが整備されていった。

(3)現代の「新しいリスク」
「新しいリスク」は、ベックの『危険社会』以来認識されるようになったリスクであり、「産業－福祉国家的リスク」に収まらない新種のリスクである。たとえば、原発事故や残留農薬、核廃棄物、薬害などがこれにあたる。一定水準を超えた近代科学が生み出したにもかかわらず、科学によって明確な予測も解決もできないリスクである。

いずれのリスクも、統計的確率計算が不可能であり、すなわち保険（＝リスクを被保険者の連帯的共同体へ再配分する仕組み）によるリスクの社会化が不可能である。つまり「新しいリスク」は個人化していると見ることもできる。原発からの放射性物質漏えいという事故の体験は、個人毎に異なったものになるだろうし、それに備えて事前に保険に加入しておくことも不可能だろう。

最後の「新しいリスク」は、それまでのリスクと明らかに異なっており、いくつかの特徴があります。放射能や環境問題は特殊機器と専門家の知見が無ければ判断できません。放射能や環境問題は容易に国境を越え、グローバルに広がります。科学技術が持つリスクへの対応に、別の科学技術が必要になります（リスクの再帰性）。

いかがでしょうか。こうした特徴は、情報システムに存在する脆弱性の問題とその対策、脆弱性への攻撃とその対策にも、そのまま当てはまることが分かるでしょう。また、個人情報やプライベートな情報が漏えいした場合の被害が、個人によってまったく異なることからも「個人化している」ということに同意できると思います。

このような「新しいリスク」である情報システムのリスクへの対処方法は、どう考えるべきなのでしょうか。繰り返しますが、単に目の前にある情報システムを調べ上げてリスク因子を探し出すだけでは、必ず見落としがある、ということです。専門家と脆弱性探索のためのソフトウェアをどれだけ動員しても、リスク因子を網羅することはできないでしょう。また、「新しいリスク」は再帰性を持っています。たとえば情報システムでは、外部からの攻撃を防いだりチェックする仕組みそのものに脆弱性が存在する可能性があることからも分かります。

このように「情報システムの新しいリスク」に対処するには、従来からのリスク分析手法では限界があります。では、どのような対処が必要なのでしょうか。

４．予防と警戒

この問題を考えるには、人間の健康管理手法が参考になります。特定の疾病に罹患しないようにするには、予防注射が役に立つでしょう。既知のウィルスに対するアンチウィルスソフトウェアのようなものです。しかし、そうした確実な予防が困難な病気には、どう対処すればよいでしょうか。できることは、定期的な人間ドックや生活習慣の見直しではないでしょうか。すなわち、致命的な問題を起こす前に、その前兆となる危険な兆候を捉えておこう、ということです。

これを参考にすると、「情報システムの新しいリスク」への対処を考えるとき、信頼できるアンチウィルスソフトウェアなどを導入することは当然としても、その信頼性をも疑って、情報システムの動きに危険な兆候がないかどうかを捉えていくことが必要だということが分かります。

現状でも、システム内から出力されるログ、システム外との通信記録、システム内での予想外のプロセスの起動、ユーザによる操作ログなど、調べるべきデータは大量にあります。これから必要なのは、そうした大量のデータを確実・安価に保存し、リアルタイムにデータを分析するノウハウだと思います。

現状でも、ネットワークからの侵入を検知するIDS (Intrusion Detection System)が多く市販されています。しかし、これからの情報システムのリスク分析と対処のためには、IDSのログに加えて、情報システム上の様々なログを統合的にリアルタイム分析する手法が求められています。それが「新しいリスク」に対抗する、最大の警戒となると考えています。