セキュリティ対策コラム -NTTデータ・セキュリティ創立10周年 特別コラム「情報セキュリティの10大潮流」-~プロローグ~「脅威を前提としたシステム」とは
NTTデータ・セキュリティ(株)が創立10周年を迎えるのを機に、情報セキュリティの大潮流について触れていきます。
日本の情報セキュリティは、1990年代の暗号技術を初めとするセキュリティ技術の進展をベースに、2000年代初頭からのISMS評価認定制度を中心とするマネージメント時代を経て、今日のガバナンス時代に入っています(図1参照)。
次回コラムでは、こうした情報セキュリティの進化の中、10周年にちなんで10大潮流を取り上げ、社会環境の変化とともに動きを振返り、将来の方向感について考えていく予定です。
今回のコラムでは、10周年特別コラムの連載に先立ち、今日のガバナンス時代の基盤となりえ、将来の潮流として予感される「脅威を前提としたシステム」について最初に取上げ、連載のプロローグとします。
<脅威前提システム>
ディペンダブル・コンピュータ、トラステッド・コンピュータ
ディペンダブル・コンピュータが取り上げられることが多くなりました。「頼りになるコンピュータ」ということですが、事故、障害の存在を前提として自己診断、自立的修復・回復する機能を備えた安心・安全なコンピュータシステムということです。最近では、情報セキュリティについて、トラステッド・コンピュータや事故前提社会も注目されていますが、中核となる考え方はディペンダブル・コンピュータと同様です。脅威を前提として、広範な安全性を確保したコンピュータシステムの実現に向けた新たな情報セキュリティの動きについて解説します。
1.注目されているディペンダブル・コンピュータ
(1)ディペンダブル・コンピュータとは
ディペンダビリティ(dependability)は、製品に信頼性、保全性や安全性を作り込む方法を表す概念で、IEC/ISO 規格で使われている国際用語です。ディペンダブル・コンピュータは、たとえ一部に異常が生じてもサービスを継続できるように自立的な診断・修復をする機能を備えていたり、災害・サイバーテロなどの脅威に対して、自立的に再構成するなどして安全で高信頼性が確保されたコンピュータシステムのことです。まだまだ一般には定着していないように思えますが、今後進展が期待される分野です。ネットワークに関しては、「ディペンダブル・ネットワーク」とも言われます。
(2)情報セキュリティのディペンダビリティ
従来から情報セキュリティ上の脅威に対しては、技術ばかりでなく運用、教育、法規制なども合わせて、種々の側面からの効果的な対策手段を進展させています。一方、新規サービス、新しい機器の登場や技術の変化も重なり、脅威は日々変化・多様化し、未知の脅威も増加している状況にあります。こうした多様複雑化する脅威に対して、完全に防護、回避することは困難なことであり、脅威の発生を前提として対応するディペンダブル・コンピュータの考え方が効果的な技術対策として注目されているわけです。
前回コラムで紹介しましたホワイトリスト方式では、許可される事項や正当な状態をホワイトリストとして予め定義しておき、このホワイトリストとの比較で完全性を保証するプロアクティブなセキュリティ方式です。このホワイトリスト方式も脅威前提の新たな取組み方法の一つと言えるでしょう。
2.脅威に耐性を持たせるHTS(ハザード・トレランス・システム)
(1)フォールト・トレランス・コンピュータ(FTC)とHTS
コンピュータの高信頼化技術進展の歴史は古く、部品の高信頼化に加えて、1990年代よりFTC技術が進展し(*1)、ノンストップマシンが出現したことで、今日の24時間ノンストップのオンラインサービスが実現できるようになってきました。ちなみにFTC技術は障害発生時の影響を最小限度に抑えたり回避するための技術で「耐障害性」と言われています。
情報セキュリティの分野においては、暗号技術に始まる様々なセキュリティ技術により安全なネット取引が実現していますが、さらに種々の脅威に対して安全性を確立させる技術として、脅威に耐性力を持つ技術が求められてきています。こうした状況の中で筆者は以前よりHTSを提唱してきましたが、これは正にディペンダブル・コンピュータと同様の概念です(図2参照)。
(*1) 電子通信学会のフォールトトレランス研究会が設立され、その後2002年代にディペンダブルコンピュータ研究会にかわりました。
ディペンダブルコンピューティング研究会 http://www.ieice.or.jp/iss/fts/jpn/
(2)HTS(ハザード・トレラント・システム)
HTSの考え方は、たとえ侵害等の脅威(ハザード)が発生しても、実際の損害となるリスクにまで結びつかせない、もしくはリスクを極小化する、ハザード(脅威)に寛容なハイセキュアシステム確立に必要な技術を指します。
リスク管理では、リスクに至るまでの段階をハザード(原因フェーズ)、ペリル(事象フェーズ)、リスク(結果フェーズ)の3つのフェーズで定義しています。HTSやディペンダブル・コンミュータは、この3つの各フェーズで効果的に脅威や障害に対応することによって、重大な結果を招かないようにする概念です。例えば、予防的処置によって、脅威であるハザードをそもそも生じさせないようにする。たとえ脅威が発生してハザードの段階になったとしても、その影響を回避したり最小限にするなどして、ペリル段階での影響を小さくする。さらに事故による損害で致命的なリスク(結果フェーズ)に至ることを避ける方策を講じる等々、種々の対応を各段階で講じ、効果的な対策を確立していくことです(図3参照)。
3.トラステッド・コンピューティング
米国ではすでに、情報セキュリティ、信頼性、安全性さらにはユーザビリティ(利便性)の概念を含めた「トラスト」という指標の重要性が指摘され始めているようです(東京電機大学 佐々木 良一 教授談)。「トラステッド・コンピューティング」のトラステッドとは、「ユーザーの要求に従って、ユーザーが意図したように動作する」ことを意味します。 こうしたトラステッド・コンピューティングを推進する団体として、TCG(Trusted Computing Group)が設立されました。TCGは、インテルをはじめとする世界中のハードウェア/ソフトウェア・ベンダーやサービス・プロバイダーなどからなる非営利団体で、コンピュータが様々な攻撃にさらされても、ソフトウェアやデータの改ざんを一切許さず、常にユーザーが期待した動作だけを行うことができるような仕組みを業界標準として策定し、普及促進するための活動を行っています。
4.事故前提社会の構築「行政施策」
内閣府をはじめとする行政府では、「e-Japan 重点計画-2003」の重点政策の一分野である「高度情報ネットワークの安全性と信頼性の確保」の中でも、しなやかな「事故前提社会システム」の構築(高回復力・被害局限化の確保)「事故は起こりうるものである」という前提に立ち、事故・事件の回避、被害の最小化、回復力の確保などの対応を柱の一つにしています。事故を未然に予防することや、起こった事故に対応することばかりではなく、「情報セキュリティに絶対はなく、事故は起こりうるもの」との前提に考える必要があるとの認識が背景となっています。この事故前提社会もディペンダブル・コンピュータやHTSと同様の考え方でしょう。
次回予告
<創立10周年特別連載スタート>
創立10周年を迎えるNTTデータ・セキュリティ(株)は、国内外の情報セキュリティの中核となる技術や手法を基盤としていますが、情報セキュリティの潮流創生に大きな役割を果たしている日本電信電話(株),(株)NTTデータなどの技術開発、システム開発や運用実績の積み重ねもベースにしているところです。そこで、10周年特別連載では、日本を中心とした情報セキュリティの大きな潮流について将来への動きも含めて解説する予定です。
元東京大学客員教授
林 誠一郎