Loading...

Loading...

JCIC logo

JCICコラム

------------------------------------------------------------------------
[コラム]やはりウイルスは、ウイルスだった?
~新型コロナウイルスに学ぶサイバーセキュリティ対策~
------------------------------------------------------------------------
JCIC客員研究員 平山敏弘
2020年5月26日

 新型コロナウイルスの猛威が長引いており、世界各国に大きな影響を与えています。このような状況の中、サイバーセキュリティに携わる者として大いに参考になると感じた点がありましたので、皆さんにもお伝えしたいと思います。

新型コロナウイルスも、コンピュータウイルスも同じウイルス?
まずウイルスとは何かですが、ウィキペディアでは、「ウイルスは、他生物の細胞を利用して自己を複製させる、極微小な感染性の構造体」となっています。またコンピュウータウイルスの定義を見直してみますと、「コンピュータウイルスとは、プログラムの一部を書き換えて、自己増殖するマルウェア。単体では存在できず、既存のプログラムの一部を改ざんして入り込むことで存在し、自分の分身を作って増えていく様が病気の感染に似ているため、ウイルスという名称になったとされている。」となります。このように、コンピュータウイルスは、そもそも病気のウイルスが由来であり、寄生して増殖していくという点では、類似している点があって当たり前となります。

新型コロナウイルス対応に学ぶセキュリティトリアージ
新型コロナウイルスの対応では、日本においても陽性患者の急増で病床がパンクしてしまい、場所によっては医療崩壊に近い状況であったという報道もありました。
新型コロナウイルスは、指定感染症に定められ、「入院の勧告・措置」が適用されるため、陽性患者の急増で入院病床がパンク状態となり、医療関係に多大な負荷がかかってしまったためです。しかし陽性患者の多くが軽症や無症状であるにもかかわらず、「指定感染症なので、特定医療機関に入院」との対応になったことにより、重症患者が発生した際に満床で対応が困難であるといったことが発生してしまいました。そこで最近では、無症状者は陽性患者用に用意されたホテルなどで対応するなどにより、病院のベッド数を確保し、重症患者への対応に専念できる体制に向かっています。
前置きが長くなりましたが、今回新型コロナウイルスの話を、それも特に陽性患者の入院時の振り分けについて取り上げた理由は、この対応がコンピュータウイルス発生時のインシデント対応にも非常に類似しているからです。特に医療用語として使用されている「トリアージ」という単語は、サイバーセキュリティの世界でも一般社団法人 JPCERTコーディネーションセンターから公開されている「インシデントハンドリングマニュアル」内で、インシデントへの対応の優先順位付けを「トリアージ」として援用しています。

サイバーセキュリティにおけるトリアージとは
インシデント発生時の対応をするCSIRT(Computer Security Incident Response Team:シーサート)において、資源(人的、設備的など)は無限ではありません。 したがってインシデント発生時にCSIRTが対応を依頼された全てのインシデントに対応できるとは限りません。そこでインシデント対応の優先順位付け(トリアージ)は、CSIRT の活動の中でも重要なものとなります。つまり最初に来たものを最初に対応するFIFO(First-In First-Out)の対応ではなく、「守るべきものは何か」といったポリシーに則って優先順位を決めて対応することが必要となります。的確な優先順位付けができなかった場合には、簡単な対応で対処可能であったインシデント対応を、人数の少ない高度なセキュリティ専門家にさせてしまう等、いざもっと重要で技術的に高度な対応が必要となった場合に対応できる人がいないといった、新型コロナウイルス対応の際の医療崩壊と同様な状況が発生してしまいます。

事前準備があってこそ可能となる非常時の対応
トリアージで必要なのは「冷静な判断」になります。逼迫した非常時にいきなり優先順位を決めて対応せよと言っても無理であり、冷静な判断ができません。そのためには、あらかじめトリアージのための判断基準を明確に定めておくことで、はじめて冷静な判断が可能となるのです。またトリアージの判断基準は、個々の状況により異なるため、守るべきものは何かといった基本ポリシーによって変わってきます。
新型コロナウイルスの場合は、守るべきは「人の命」になると思いますので、FIFOの対応ではなく、重症患者が優先的に専門病院に入院できるように対応することが必要です。しかし、軽症者や無症状者を誘導するホテルなどの隔離施設を予め用意できていなかったため、患者の症状にかかわらず入院をさせてしまい、結果あとから重症患者が来た際の対応が逼迫してしまいました。
サイバーセキュリティでのインシデント対応も同様です。「来たものをすべて」または「来た順番に」対応していたのでは、いざという時や同時多発にインシデントが発生した場合には、本当に守るべきものを守れません。平常時より「データや情報の優先順位」や「継続させるべき業務の順序」などを決めておくことが必須であり、その上で避難訓練のようなインシデントハンドリングの模擬演習を行っておくことが非常に重要となります。

自然災害やパンデミック同様に、サイバーセキュリティの世界にも「想定外」は通用しません。新型コロナウイルスもコンピュータウイルスも他に寄生して増殖するため、その感染を止めるには共に事前の準備が重要であり、何が本当に重要なのか、それをどう守るのかを決めておくことが必要です。しかし、その対応が大変難しいことを、同じ「ウイルス」である新型コロナウイルス対応を通じて実感しました。皆さんにもぜひ意識していただきたいと思います。

JCIC客員研究員 平山敏弘