有効な事前対策、脆弱性診断

今まで当連載では、ハッキングやマルウェア感染に遭ったとき、またその後の感染拡大を防ぐ対策を中心にご紹介してきました。今回は事前に行う対策についてお話しします。

すべての災害の母

未来を垣間見ることができれば、どうだろうか。 もし、全ての起こるかもしれない災害と、それがもたらす全ての悪いことを見ることができたら、どうだろうか。ハリケーンによる大洪水、地震で倒壊した建物、停電でスーパーマーケットの空っぽの陳列台や凍える住宅、バイオテロ攻撃の死者など、それらの全ての悪いことを足し合わせてみる。それは、どのように見えるだろうか。

第72回：DDoS攻撃の発生状況とその実態

これまで本連載でたびたび紹介してきた、BCI（注1）による Horizon Scan Report（注2）によると、世界のBCM関係者が今後12カ月間に最も懸念される脅威は4年連続で「サイバー攻撃とデータ漏えい」（Cyber attack & data breach）となっている。また同じくBCIから発表された「Supply Chain Resilience Report」（注3）によると、世界のBCM関係者が過去12カ月間に経験したサプライチェーン途絶の原因の中で「サイバー攻撃とデータ漏えい」は 2013年から急増しており、2015年以降は2～3位の間で推移している。したがってサイバー攻撃はBCM関係者にとって最も警戒すべき脅威の一つと言える。

Shit happens　－最悪の事態も起きるー

9.11の後、インテリジェンス・コミュニティ（政府が設置している情報機関によって組織されている機関）では攻撃が差し迫っているということが多くの人の目に明らかだった。ハリケーン・カトリーナの後、ニューオーリンズのインフラの強化が大幅に遅れていることもよく知られていた。 ナシーム・ニコラス・タレブ（ブラックスワンの著者）によれば、ブラックスワンはきっかけとなるインシデント（出来事）、あるいは一連のインシデントの産物なのだと説明するのは、偶然にだまされているのである。事後でさえ大災害の原因を理解できると考えるのはばかげている。結局のところ科学者たちは、相当の努力をしたにも関わらず、地震やテロ攻撃のタイミングを正確に予想することはできなかった。大災害の原因を突き止めるというのは大体において後付けの試みである。

SDNを使った制御システムのセキュリティ対策

今回は制御システムに対するSDN（Software-Defined Networking）を使ったサイバーセキュリティ対策について触れていきます。近年制御システムに携わる方々からSDNを利用したホワイトリスト対策について聞かれる機会が非常に増えました。その内容のご紹介です。

想像上の友人　人間のもろさ

我々は何度も同じ問題に直面した。受け身の抵抗、曖昧、そして無視である。我々は人が何を言うか、それをいつ言うかが分かるまでになった。奇妙に思うかもしれないが、この現象を説明するために想像上の友人を作ることにした。その名はブルースである。

SDNを使ったセキュリティソリューション

SDN（Software- Defined Networking）といった技術を使ったセキュリティ強化策について説明します。この技術はデータセンター向けに作られた技術ですが、企業オフィスや制御システムに対しても活用することができます。特にサイバーセキュリティ対策に関しては有効です。

第70回：サプライチェーンのレジリエンスに関するここ10年間のトレンド

これまで本連載では、BCMの専門家や実務者による非営利団体であるBCI（注1）によって毎年発表されている「Supply Chain Resilience Report」を度々紹介してきた（注2）。これは主にBCI会員に対するアンケート調査を通して、サプライチェーン途絶の発生状況や企業等における対策状況や問題意識などを探ろうとするもので、2009年に最初の調査が行われて以来、10年連続で行われている。

希望が煉瓦壁になる 　我々は自らの脆さを忘れがちである

ベッドからはい出して床に倒れたとき肌に分厚い煙が押し付けられるのを感じる。できるだけ床に近くいるのがよいと誰かが言っていたことを思い出す。しかしそこに救いはない。熱と酸素不足があなたの心臓をどきどきとさせる。希望は遠のいていき、もう終わりだと悟る。意識を失いつつあるとき、遠く家のもう一方の端で、煙感知器がピッチの高い音を出すのを聞く。近くの煙感知器用に買っておいた新品の電池が使用されないで台所のカウンターにある。あなたの命を救ったかもしれない電池であるが交換されることにはならなかったものである。

ビル制御システムのセキュリティ対策（2）

前回の内容で説明しきれなかった、制御システムインフラ（＝ネットワーク）のホワイトリスト制御について説明します。

重要なインフラ　サイバー脅威

電力・病院・サプライチェーン・通信・小売店・公共輸送・銀行といった重要なインフラからなるすべてのシステムに共通していることがある。ワールド・ワイド・ウェブとして知られる危険な荒れ野に融合されていることである

ビル制御システムのセキュリティ対策（1）

前回は情報系ネットワークが拡大し、そのネットワークが制御システムまでつながっている、そして2020年の東京オリンピック・パラリンピックは、サイバー攻撃の格好の標的となるリスクがあるといったお話しをしました。今回は実際に今私どもが行っている建物（オフィスやビル）の制御システムに関するセキュリティに関して触れていきたいと思います。

最重要なインフラー電力

重要なインフラのリスクと言えば電力である。電力はいわゆる本源的入力であり、それがなければ何も動かない。 日々の生活を可能にする電気は発電・送電・配電設備の膨大なネットワークによって供給される。全国高圧送電線網として知られるものであり、複雑になりもろくなる一方である。 老化がある。送電線と変圧器の70％は少なくとも25年を経ている。

第68回：サプライチェーンを脅かすリスクを世界規模で俯瞰する

国際物流大手のDHLは、グループ企業のResilience360社を通じて「Resilience360」というサプライチェーン・リスクマネジメント関連サービスを提供している（注1）。そのサービスにおいて収集されたデータに基づいて、2018年のサプライチェーンに関するリスクの状況を総括した報告書が、「Resilience360 Annual Risk Report」としてResilience360社から公開された。

ネットワークと共に攻撃も進化

「現在はすべての物がネットワークにつながれ…」といった言葉をよく耳にします。皆さんが働いている環境では実際どうなのか？　このコラムでは様々な企業・産業システムがどのようなネットワークにつながれ、どのような利便性を生んでいるのかに簡単に触れながら、サイバー攻撃の影響に関してわかりやすく説明していきます。

リスクの強烈さ　大災害、高まる脆弱性

「ようこそ、世界の交差点へ」 路線①の電車がタイムズスクエア地下鉄駅へ入線してくると何十年来使い古されたスピーカーから車掌の大きなよく聞こえる音声が流れる。ニューヨーク、それは金融・テクノロジー・アート・ファッションの国際センターである。ハドソン湾とイーストリバーが合流して大西洋に注ぐところにできた広大な自然の港を取り囲んでいる。エンパイアステート・ビル、セントラルパーク、そしてタイムズスクエアのネオンなどを見に訪れる観光客は毎年6000万人にのぼる。それは眠らない都市である。しかし、そこで暮らす850万人の住民にとっては、ビッグアップルのバイタリティには、日常の仕事をやっていくうえで不都合な点もある。

第67回：世界のBCM関係者の懸念は今年もまたサイバー攻撃

BCMの専門家や実務者による非営利団体 BCI（注1）は、英国規格協会（BSI）と共同で、3月に「Horizon Scan Report 2019」を公開した。

第12回（最終回）：不老長寿はAIで実現！？

事故の記録を残す装置として、航空機にはフライトレコーダーやボイスレコーダーがあり、街中ではドライブレコーダーを搭載する車も多く見かけるようになりました。筆者などは、飛行機のフライトレコーダーにもドライブレコーダーのようなビデオ機能を付ければ良いのにと思うことがあります。しかし少し考えてみると、航空機はとても大きいので、街中の防犯カメラのように機体内外のあちこちに設置していないと、どの箇所でどんな不具合が発生したかは追跡できない。自動車のドライブレコーダーのような前方のコックピットからの映像だけでは、せいぜいクラッシュした場面しか映らないから、事故原因の究明にはつながりません。

第64回：進化する緊急事態コミュニケーション

BCMの専門家や実務者による非営利団体BCI（注1）は、緊急事態におけるコミュニケーションに関する実態調査を2014年以降毎年実施してその調査結果を公開しているが（注2）、つい先ごろ最新の調査結果が「Emergency Communications Report 2019」として発表されたので、本稿ではこちらを紹介したいと思う。なお、従来は毎年12月に発表されていたが今回は年をまたいで1月の発表となったため、「2018年版」が発表されずに2019年版となっている。

第11回：AIと山火事の発生予測

アメリカではたびたび山火事が発生します。近年はとくにこの種のニュースを見聞きする回数が増えたと感じているのは筆者だけではないでしょう。2018年11月上旬には、米カリフォルニア州北部の複数のエリアでこれまでにない大規模な山火事が発生しました。この大火はハリウッドスターが多く住むリゾート地にも到達し、ウィル・スミスなど多くのセレブたちがSNS上で被害状況を伝えたり、一般市民に避難を呼びかけたり、消防士たちに感謝の気持ちをつづっているのが印象的でした。

第10回：地震への迅速な対応を指南してくれるのは…

実験室レベルではあるものの、AIを使えば地震の発生を予知できる可能性はあるらしい。前回はそんな話を取り上げました。地震の予兆となる音響パターンをコンピューターに学ばせれば、その前兆を捉えられるようになるというのです。

第９回：AIで地震は予知できるか？

地震の予知は私たち日本人にとってある意味悲願でもあります。地震学者たちは長年にわたって地震予知の研究に取り組んできましたが、今一つ決め手に欠けるのです。地震発生のメカニズムはわかりますが、肝心のいつどのくらいの強さで発生するのかがはっきりしません。

第62回：BCM担当部門に求められる他部門との協働

事業継続マネジメント（BCM）の専門家や実務者による非営利団体である BCI（注１）は2018年11月に新しい調査報告書「Continuity and Resilience Report 2018」（以下「本報告書」と略記）を発表した。これは事業継続に関連する分野である情報セキュリティ、リスクマネジメント、物理的セキュリティ（physical security）といった分野との関係を通じてBCMの役割を明らかにすることを意図してまとめられたものである。本稿では本報告書の中から、前述の各分野の担当部門との協働に関する部分をピックアップして紹介する。

第61回：英国の金融業界におけるITトラブルに関する実態調査

英国の金融行動監督機構（Financial Conduct Authority：FCA）が2018年11月に発表した調査報告書「Cyber and Technology Resilience: Themes from cross-sector survey 2017-2018」では、英国内の296の金融機関を対象として、2017年10月～2018年９月までの１年間におけるIT関連のトラブルの発生状況を調査した結果がまとめられている。これは2018年７月にFCAがイングランド銀行および英国の健全性規制機構（Prudential Regulatory Authority）と共同で発表したジョイント・ディスカッション・ペーパー「Building the UK financial sector’s operational resilience」（注１）に関連して作成されたものである。

第８回：AIを使って犯罪をどこまで未然に防げるか？

2002年に公開されたトム・クルーズ主演のSF映画「マイノリティ・リポート」には、犯罪を未然に防ぐために選ばれたプリコグと呼ばれる３人の予知能力者が登場します。３人はプールのような水面上に横になり、ひたすら犯行時のイメージが現れるのを待つという設定です。当時観たときは非現実的でいかにもSFチックな映画という印象でしたが、今日、まさにAIが予知能力者の代わりを果たせそうな勢いであることに、筆者は驚かざるを得ません。