レベルに応じた合理的な対策を提示
「システム障害でトラブル」を減らせ、IPAが研究会報告書
2009/04/09
システムトラブルによって駅の自動改札機が通れなくなる、飛行機の搭乗手続きができなくなる、あるいはATMが利用できなくなる……社会的なインフラを支える情報システムの障害が原因となって、広く国民に影響を及ぼすトラブルが発生している。
情報処理推進機構(IPA)は4月9日、こうしたトラブルを回避できるよう、重要インフラを支える情報システムの信頼性を高めることを目的とした「重要インフラ情報システム信頼性研究会報告書」を公開した。
IPA ソフトウェア・エンジニアリング・センター所長 松田晃一氏金融や航空、鉄道、電力といった国民生活を支える社会的インフラの多くが、コンピュータシステムを活用してサービスを実現している。その結果、ひとたびシステムの不具合や運用時の誤りなどによって障害が発生すると、影響が広範に及ぶようになった。重要インフラ情報システム信頼性研究会はこの現状を踏まえ、重要インフラに関係する情報システムの信頼性を確保する方法を議論するため、2008年に発足したものだ。
9日に公開された報告書では、過去に発生したシステム障害事例を分析しながら、重要インフラ情報システムの信頼性を担保するための方策についてまとめている。具体的には、過去に発生したシステム障害事例を分析し、情報システムレベルでどの程度対策が実施できているかを把握できる「評価指標」を整備したほか、事例をベースに「再発防止策一覧表」をまとめた。さらに、システム構築段階から信頼性確保に向けた取り組みを進めるため、「プロセス」「プロダクト」の両面に渡って「作業目標指標」を定めている。
特徴は、すべてのシステムを同列に扱うのではなく、障害が発生したときの人的・経済的損失に応じて4つのカテゴリ・レベルに分類し、各レベルに必要な対策を示していることだ。レベルに応じて、過小でも過大でもない、合理的な範囲の対策を実施できているかどうかを把握できるようにした。
IPAによると、重要インフラ情報システム信頼性研究会には、システムを提供するベンダだけでなく、ユーザー側も参加して検討を行った。その中でユーザー側からは特に、コストとの関係性が議論の俎上に上がったという。今回の報告書は、コストを考慮しながら、「何をどこまでやったらいいのか」を考えるための第1歩という位置付けで、今後、フィードバックを得ながら、産業分野ごとに具体化、精緻化を進めていく計画だ。
なおIPAは先に、「重要インフラの制御システムセキュリティとITサービス継続に関する調査報告書」を公開している。この報告書では、従来、独自システムが利用されることの多かった重要インフラの制御システムにおいてもオープン化が進み、その結果、ウイルス侵入などのリスクが高まっていることが指摘されていた。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
