マルウェア、ウイルス、標的型攻撃、APT、SIEM …、サイバーセキュリティ対策の現場には、難解な専門用語が飛び交い、専門家はともかく一般のビジネスパーソンにとって、セキュリティの敷居を高く感じる理由のひとつになっている。
ところが、その当のセキュリティ専門家の発言ですら、用語の定義が明確ではない言葉がいくつか存在する。
どちらも「多層防御」あるいは「多重防御」などと訳され、日本でもすこしずつ使われ始めている言葉である。
●攻撃を防げないことを前提とした用語のはずが
Google で検索していただければおわかりになると思うが、「多層防御(ディフェンス・イン・デプス)」と括弧書きされていたり、「ディフェンス・イン・デプスとは様々な防御技術を駆使して、多層に構築したより堅牢な防御システム」等の表記が散見され、「マルチ・レイヤード・セキュリティ」と「ディフェンス・イン・デプス」がほぼ同義の言葉として使われているように見える。
一方でマイクロソフトの TechNet には「 Defense in depth is the security strategy wherein network defenses are layered(ディフェンス・イン・デプスとは多層のネットワーク防御がなされた環境下でのセキュリティ戦略である)」とあり、Wikipedia には「 Defense in depth is originally a military strategy that seeks to delay, rather than prevent(ディフェンス・イン・デプスとは元々軍事戦略であり防御より遅延を目的とする)」と記載されている。
あくまでこのふたつの定義をもとにすると、防御を多層(マルチ・レイヤード・セキュリティ)にすることで「防ぐ」のではなく、多層にすることで「攻撃を遅らせる」「時間稼ぎをする」ことを目的とした「戦略」が「ディフェンス・イン・デプス」と考えることができる。攻撃を防御する目的なのか、攻撃ありきでいかに時間稼ぎをするのか、似ているようで方向が違う概念だ。
このように「マルチ・レイヤード・セキュリティ」と「ディフェンス・イン・デプス」という2つの言葉が、現在日本では「多層防御」という1つの言葉に混同されて用いられており、問題なのは、そもそもその言葉を使っている専門家諸氏の中にすら混同して用いているという自覚を持っている人が少ないのではないかということだ。
●英語には情報漏えいを表す言葉が複数ある
専門性の高い言葉を例に説明をしたが、頻繁にメディアで見かける「情報漏えい」という言葉が、英語と日本語ではニュアンスが異なっているという。
「何を言ったか」「どんな意見具申をしたか」そしてそれを「どんな言葉を使って、いかにわかりやすくクライアントへ伝えるか」など、発言が仕事の重要な一部を占めるコンサルタントこそが、こうした言葉の問題に敏感に反応している。
日本語の「情報漏えい」にあたる言葉が、英語では 3 つあると語るのが、三井物産セキュアディレクション株式会社(MBSD)の伊藤 潤である。伊藤は、危機管理会社設立を経て MBSD に入社、複数の大企業を顧客とする同社のエースコンサルタントであり、サイバーリスク管理の専門家として、政府機関へ出向し知見を提供している。
伊藤が、ある海外の専門家と、米連邦政府人事管理局(OPM)の情報流出について話していた際に、海外の専門家は「 OPM は、Breach はしたが Leak はしていない。
英語では、情報漏えいした事案を説明する言葉として主に「 Breach 」「 Leak 」「 Stolen 」の 3 つが存在し、企業の実務者だけでなく、メディアもこの 3 つの言葉を使い分けているという。なお、各語の伊藤による定義は以下の通り。
【Breach(ブリーチ)】
日本語でいうところの「漏えい」に相当。不正アクセス、APT 攻撃、内部犯行等の原因を問わず、情報が外部に漏れた(持ち出された)ことを示し、最も多く使われる。(編集部註:米連邦政府人事管理局や日本年金機構がこれ)
【Leak(リーク)】
情報が外部に持ち出されて、メディアやネット、第三者などに公開されてしまった場合に使われる。(編集部註:ベネッセがこれ。米連邦政府人事管理局や日本年金機構には英語では使えない)
【Stolen(ストールン)】
「情報を盗まれた」という意味で使用する。たとえば APT 攻撃に遭い個人情報が外部に漏えいした際に使用する。被害者であることを示唆する。
伊藤によれば、日本語では情報漏えいについて言及する際に主に「漏えい」「流出」「窃取」を使用しており、「 Stolen 」に対して「窃取」は適切であるが、「漏えい」と「流出」はともに「外部に持ち出された」ことを意味しており、一般に公開されているかどうかについては区別していないため、「 Breach 」「 Leak 」を区別できるようにするために、「 Leak 」に相当する日本語を新たに作るか、もしくは「流出」という言葉に「 Leak 」の意味を含むよう再定義する必要があるという。
そう考えた伊藤が、弁護士で米国在住経験が長い友人に「 Leak 」の適切な日本語訳はなんだろうと尋ねると、なんと「ダダ漏れ」が一番ニュアンスが合っている日本語であると回答されたという。持ち出されたが被害が起こっていない状態と、ダダ漏れとの間には、決して小さくない差があるだろう。
メディアが「年金機構はブリーチは起こったがリークはしていないから実害は発生していない」こんなことを書こうものなら「年金機構を擁護するのか」といった批判すら受けかねない。しかし、その態度こそが、この言葉の持つ問題そのものである。
●100点と0点の間に何があるのか
伊藤は、「セキュリティをゼロイチでしか考えられない」ところに問題の原因があると指摘する。伊藤のゼロイチを極端に言い替えれば、あらゆる攻撃を防御して事件事故をまったく起こさない100点満点か、情報漏えいが発生して社長や取締役が引責辞任し株価が降下する0点的事態の両極のふたつだけがあって、その間(漏えいはしたが実害がまだ発生していない等の中間的な事態)を考察する言葉が存在しないのだ。
伊藤は、現在の状況を看過し続ければ、いざ事案が発生した際に、適切な事後対応が行われなくなるのはもちろんのこと、経営陣への責任追及に無用な時間をかけたり、過剰なセキュリティ投資が行われるような、さまざまなミスリードが行われる懸念があると語った。先の例でいえば、ありえない100を目指して(目指すよう指示を受けて)無駄な投資を行い、一度土がついたら最後、徹底的に叩くという訳だ。これは、将来の懸念とは必ずしもいえないかもしれない。
「そもそも、「ブリーチ」と「リーク」というふたつの言葉があるから、こうした議論をすることができる(伊藤)」
どのサービスを選ぶかを、ニュースや報道の情報をもとに検討する一般ユーザーにとっても、適切な用語の定義と使用は重要になるだろう。
●国家と企業、違うレベルの問題がいっしょくたに
伊藤がさらに憂慮するのは、「サイバーアタック」「サイバーテロ」「サイバーエスピオナージ」という目的も背景も異なる3つの事象が、すべて「サイバー攻撃」として一緒くたにされていることだという。2014年から2015年にかけて海外や日本で大規模な個人情報が窃取される事案が発生しているが、伊藤によれば、OPMや年金機構事案は「サイバーエスピオナージ(諜報活動)」であり、ソニーピクチャーエンターテイメントは「サイバーテロ」であるという。
もしサイバーエスピオナージを受けているのであれば、外交や制裁処置などを視野に入れて対応する政府レベルの事案であり、一組織で対応できるものではない。現に米国ではオバマ大統領が動いている。もし年金機構事案のような攻撃を防ぐために、企業が努力するとしたら、軍レベルの兵器に市民が向かっていくことになりはしないか。毎日見かける「サイバー攻撃」という言葉についても、的確な用語を使用しなければ、対応を見誤る可能性があるのだ。
●サイバーセキュリティの黒船
アメリカでは、米国国立標準技術研究所( NIST )などが新しい用語の標準化を中心になって進めている。日本でも、独立行政法人情報処理推進機構( IPA )が用語集を公開しているが、専門家・実務家向けの内容だ。
「海外のサイバーセキュリティの概念を的確に翻訳した日本語を作っていかなければいけない。明治時代の日本人がすごいのは、海外の新しい文物の適切な日本語をどんどん作っていったこと。我々もそうしなければ、正確なセキュリティの意識は企業にも消費者にも伝わらない。セキュリティの業界団体にワーキンググループを立ち上げて、言葉にこだわる人が集まって作っていければいい(伊藤)」
伊藤の言葉をやや強引に敷衍するなら、日本のサイバーセキュリティはまだ明治維新の前段階にあり、突然現れた黒船に右往左往しているというところか。
現在、一般消費者はさまざまな個人データをクラウドサービスに預ける一方、世界中で APT 攻撃によって企業の知的財産や国家機密が危険にさらされている。また、日本でも有価証券報告書にサイバーリスク項目が設けられることが検討されるなど、セキュリティの問題は、一部の専門家の問題を超えて、経営者、一般国民の問題となっている。
ところが、その当のセキュリティ専門家の発言ですら、用語の定義が明確ではない言葉がいくつか存在する。
たとえば、最近見かける「マルチ・レイヤード・セキュリティ」と「ディフェンス・イン・デプス」というふたつの言葉をみてみよう。
どちらも「多層防御」あるいは「多重防御」などと訳され、日本でもすこしずつ使われ始めている言葉である。
●攻撃を防げないことを前提とした用語のはずが
Google で検索していただければおわかりになると思うが、「多層防御(ディフェンス・イン・デプス)」と括弧書きされていたり、「ディフェンス・イン・デプスとは様々な防御技術を駆使して、多層に構築したより堅牢な防御システム」等の表記が散見され、「マルチ・レイヤード・セキュリティ」と「ディフェンス・イン・デプス」がほぼ同義の言葉として使われているように見える。
一方でマイクロソフトの TechNet には「 Defense in depth is the security strategy wherein network defenses are layered(ディフェンス・イン・デプスとは多層のネットワーク防御がなされた環境下でのセキュリティ戦略である)」とあり、Wikipedia には「 Defense in depth is originally a military strategy that seeks to delay, rather than prevent(ディフェンス・イン・デプスとは元々軍事戦略であり防御より遅延を目的とする)」と記載されている。
あくまでこのふたつの定義をもとにすると、防御を多層(マルチ・レイヤード・セキュリティ)にすることで「防ぐ」のではなく、多層にすることで「攻撃を遅らせる」「時間稼ぎをする」ことを目的とした「戦略」が「ディフェンス・イン・デプス」と考えることができる。攻撃を防御する目的なのか、攻撃ありきでいかに時間稼ぎをするのか、似ているようで方向が違う概念だ。
このように「マルチ・レイヤード・セキュリティ」と「ディフェンス・イン・デプス」という2つの言葉が、現在日本では「多層防御」という1つの言葉に混同されて用いられており、問題なのは、そもそもその言葉を使っている専門家諸氏の中にすら混同して用いているという自覚を持っている人が少ないのではないかということだ。
●英語には情報漏えいを表す言葉が複数ある
専門性の高い言葉を例に説明をしたが、頻繁にメディアで見かける「情報漏えい」という言葉が、英語と日本語ではニュアンスが異なっているという。
「何を言ったか」「どんな意見具申をしたか」そしてそれを「どんな言葉を使って、いかにわかりやすくクライアントへ伝えるか」など、発言が仕事の重要な一部を占めるコンサルタントこそが、こうした言葉の問題に敏感に反応している。
日本語の「情報漏えい」にあたる言葉が、英語では 3 つあると語るのが、三井物産セキュアディレクション株式会社(MBSD)の伊藤 潤である。伊藤は、危機管理会社設立を経て MBSD に入社、複数の大企業を顧客とする同社のエースコンサルタントであり、サイバーリスク管理の専門家として、政府機関へ出向し知見を提供している。
伊藤が、ある海外の専門家と、米連邦政府人事管理局(OPM)の情報流出について話していた際に、海外の専門家は「 OPM は、Breach はしたが Leak はしていない。
だから実害は出ていない」と語ったことに驚いたという。「えっ?」と同席していた日本人が全員感じたそうだ。
英語では、情報漏えいした事案を説明する言葉として主に「 Breach 」「 Leak 」「 Stolen 」の 3 つが存在し、企業の実務者だけでなく、メディアもこの 3 つの言葉を使い分けているという。なお、各語の伊藤による定義は以下の通り。
【Breach(ブリーチ)】
日本語でいうところの「漏えい」に相当。不正アクセス、APT 攻撃、内部犯行等の原因を問わず、情報が外部に漏れた(持ち出された)ことを示し、最も多く使われる。(編集部註:米連邦政府人事管理局や日本年金機構がこれ)
【Leak(リーク)】
情報が外部に持ち出されて、メディアやネット、第三者などに公開されてしまった場合に使われる。(編集部註:ベネッセがこれ。米連邦政府人事管理局や日本年金機構には英語では使えない)
【Stolen(ストールン)】
「情報を盗まれた」という意味で使用する。たとえば APT 攻撃に遭い個人情報が外部に漏えいした際に使用する。被害者であることを示唆する。
伊藤によれば、日本語では情報漏えいについて言及する際に主に「漏えい」「流出」「窃取」を使用しており、「 Stolen 」に対して「窃取」は適切であるが、「漏えい」と「流出」はともに「外部に持ち出された」ことを意味しており、一般に公開されているかどうかについては区別していないため、「 Breach 」「 Leak 」を区別できるようにするために、「 Leak 」に相当する日本語を新たに作るか、もしくは「流出」という言葉に「 Leak 」の意味を含むよう再定義する必要があるという。
そう考えた伊藤が、弁護士で米国在住経験が長い友人に「 Leak 」の適切な日本語訳はなんだろうと尋ねると、なんと「ダダ漏れ」が一番ニュアンスが合っている日本語であると回答されたという。持ち出されたが被害が起こっていない状態と、ダダ漏れとの間には、決して小さくない差があるだろう。
メディアが「年金機構はブリーチは起こったがリークはしていないから実害は発生していない」こんなことを書こうものなら「年金機構を擁護するのか」といった批判すら受けかねない。しかし、その態度こそが、この言葉の持つ問題そのものである。
●100点と0点の間に何があるのか
伊藤は、「セキュリティをゼロイチでしか考えられない」ところに問題の原因があると指摘する。伊藤のゼロイチを極端に言い替えれば、あらゆる攻撃を防御して事件事故をまったく起こさない100点満点か、情報漏えいが発生して社長や取締役が引責辞任し株価が降下する0点的事態の両極のふたつだけがあって、その間(漏えいはしたが実害がまだ発生していない等の中間的な事態)を考察する言葉が存在しないのだ。
伊藤は、現在の状況を看過し続ければ、いざ事案が発生した際に、適切な事後対応が行われなくなるのはもちろんのこと、経営陣への責任追及に無用な時間をかけたり、過剰なセキュリティ投資が行われるような、さまざまなミスリードが行われる懸念があると語った。先の例でいえば、ありえない100を目指して(目指すよう指示を受けて)無駄な投資を行い、一度土がついたら最後、徹底的に叩くという訳だ。これは、将来の懸念とは必ずしもいえないかもしれない。
「そもそも、「ブリーチ」と「リーク」というふたつの言葉があるから、こうした議論をすることができる(伊藤)」
どのサービスを選ぶかを、ニュースや報道の情報をもとに検討する一般ユーザーにとっても、適切な用語の定義と使用は重要になるだろう。
●国家と企業、違うレベルの問題がいっしょくたに
伊藤がさらに憂慮するのは、「サイバーアタック」「サイバーテロ」「サイバーエスピオナージ」という目的も背景も異なる3つの事象が、すべて「サイバー攻撃」として一緒くたにされていることだという。2014年から2015年にかけて海外や日本で大規模な個人情報が窃取される事案が発生しているが、伊藤によれば、OPMや年金機構事案は「サイバーエスピオナージ(諜報活動)」であり、ソニーピクチャーエンターテイメントは「サイバーテロ」であるという。
もしサイバーエスピオナージを受けているのであれば、外交や制裁処置などを視野に入れて対応する政府レベルの事案であり、一組織で対応できるものではない。現に米国ではオバマ大統領が動いている。もし年金機構事案のような攻撃を防ぐために、企業が努力するとしたら、軍レベルの兵器に市民が向かっていくことになりはしないか。毎日見かける「サイバー攻撃」という言葉についても、的確な用語を使用しなければ、対応を見誤る可能性があるのだ。
●サイバーセキュリティの黒船
アメリカでは、米国国立標準技術研究所( NIST )などが新しい用語の標準化を中心になって進めている。日本でも、独立行政法人情報処理推進機構( IPA )が用語集を公開しているが、専門家・実務家向けの内容だ。
「海外のサイバーセキュリティの概念を的確に翻訳した日本語を作っていかなければいけない。明治時代の日本人がすごいのは、海外の新しい文物の適切な日本語をどんどん作っていったこと。我々もそうしなければ、正確なセキュリティの意識は企業にも消費者にも伝わらない。セキュリティの業界団体にワーキンググループを立ち上げて、言葉にこだわる人が集まって作っていければいい(伊藤)」
伊藤の言葉をやや強引に敷衍するなら、日本のサイバーセキュリティはまだ明治維新の前段階にあり、突然現れた黒船に右往左往しているというところか。
現在、一般消費者はさまざまな個人データをクラウドサービスに預ける一方、世界中で APT 攻撃によって企業の知的財産や国家機密が危険にさらされている。また、日本でも有価証券報告書にサイバーリスク項目が設けられることが検討されるなど、セキュリティの問題は、一部の専門家の問題を超えて、経営者、一般国民の問題となっている。
積極的な議論と情報共有がなされることに期待したい。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)