サイバーセキュリティのレイヤ構造

投稿日:

 ある雑誌記事を漫然と見ていて、ふと思った。

 「外交」という雑誌の、上掲の号だ。特集が「技術革新と安全保障」で、その中に「政府はサイバー空間を守れるか」という対談記事がある。

 実のところ、なんだか最近この種記事に食傷気味というところもある。脅威を言い立てて不安感を(あお)るばかりに見える、こういう「啓蒙言説」に飽きてしまったのだ。

 その「聞き飽き」を踏まえての事なのだが。

 「サイバーセキュリティ・マネジメント」について、「レイヤ構造」に整理したようなディレクトリというか、BOK(バディ・オブ・ナレッジ)はないのだろうか。

 というのは、こういう啓蒙言説を聞き飽きる理由は、「政策」や「脅威の評価」といった抽象的な事項と、物理的な機械や人員配置と言った具象的な事項が、直ちに短絡していたり、綯い交ぜに語られたりすることが多く、それが、あまり詳しくない者には煽っているだけのように見えるからなのではないか、と思い当たったからだ。

 それで、この要素とその要素は、そこはもう少し離れていやしませんかね、今はこの辺の抽象度の部分について言ってますよ、というような、「議論の地図」がないかな、と思いついたわけである。

 私が見たいと思う整理は、次の図のような姿をしている。

図 サイバーセキュリティのレイヤと言うか、ヒエラルキと言うか……

 この中間の「モヤモヤ部分」を誰か綺麗に整理してないものかな、と思ったのだ。

 それで、少しばかりネットを検索してみると、一昨年、2015年の6月2日にIPAが「多層防御」を提唱しており、それがGoogleの検索アシストにもあらわれてくる。よっしゃしめた、コレだ!!……とばかりに飛びつくのだが、その中身を見てみると……

 これは「多層」というよりは、むしろ「多角」とか「多面」「複数野」と言った方がいいようなことで、私が見たい「層」ではなかった。

 いや、これはこれで、正鵠を射ているとは思う。例えば、軍事には、「防御は丸く、攻撃は三角に」などというような例えがある。つまり、敵を攻撃するときは、自らが得意とするものを十二分に発揮するのだ。良い戦車が沢山あるならそれを押し立てていくし、優れた戦闘機が沢山あるならそれをどんどん使っていく。だが、防御は違う。敵はどこから来るかわからない。だから、敵の情報を探って十分準備するということはもちろんだが、思わぬ弱点を突かれて奇襲攻撃されることがないよう、あらゆる方向をまんべんなく、漏れなく手当し、円満に「丸く」守る、というのが常道なのだ。そこから考えて、IPAの発表は正しい。

 だが、私は抽象と具象を矛盾なく繋ぐ整理、ネットワークのOSI参照モデル7階層のような、エンタープライズアーキテクチャの4層のような、ああいうもののサイバーセキュリティ版が見たいのだ。

 そこで、ISMSの方へ眼を向けてみる。

 すると、「JIS Q 27001(ISO/IEC 27001)」にある「管理目的及び管理策」(付属書A)というものの整理が、私が見たいものにだいぶ近い。

 しかし、近いことは近いが、これはどちらかというと要素の漏れのない列挙であって、構造的に層化はされていない。

 「JIS Q 27002」の中に散在する要素も近い。これを取り出して、KJ法的に帰納し、構造化すれば、欲しいものに近づくかもしれない。

 うーん。自分で作業しなくちゃ、ダメかあ……。いや、こういうの、誰か頭のいい人がとうの昔に既にやった後で、どこかにあるはずだと思うのだが……。

投稿者: 佐藤俊夫

 50代後半の爺。技術者。元陸上自衛官。2等陸佐で定年退官。ITストラテジストテクニカルエンジニア(システム管理)基本情報技術者

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください