セコム IS研究所
セコムウェブサイト セコムウェブサイト
IS研究所について 研究紹介 対外活動 研究員紹介 採用情報

タイトル - セキュリティの理論体系構築のための研究

 物事をエンジニアリングの対象とするためには、それ自身の曖昧性を排した形で定義し、かつそれを客観的に計測することが出来るようにする必要がある。本研究は、曖昧な概念であるセキュリティを、一般化して一義的に定義し、系統的に扱える対象とすることを目指している。また、その定義を数理モデルに落とすことで、セキュリティを客観的に定量化することを試みている。

 ここでは、セキュリティとその実現方法について考えるために、世の中におけるセキュリティの様々なケースから、考察によって導き出した「セキュリティの定義、実現要件とセキュリティポリシーの策定方法」、「機械警備とセキュリティの関係」、リスクマネジメント、クライシスマネジメントと機械警備の関係」、さらには「セキュリティの数理モデリングと定量化手法」について概説する。

 加えて、「生産システムのセキュリティ」のような今まであまり考えられていなかった対象に対しても考察を加え、セキュリティの上位概念を提案する。この上位概念を用いることで、物理セキュリティ、情報セキュリティを統合することが可能となり、世の中のセキュリティを一元的に捉えることが可能となる。


目次
 

「セキュリティ」という言葉の持つ曖昧性
  セキュリティの定義、実現要件とセキュリティポリシーの策定方法
  機械警備(オンラインセキュリティサービス)とセキュリティの関係
 

リスクマネジメント、クライシスマネジメントと機械警備

  セキュリティの数理モデリングと定量化
  上位概念的「セキュリティ」
  参考文献等


「セキュリティ」という言葉の持つ曖昧性

 日本社会の治安悪化、インターネットの本格的普及、米国同時多発テロ、これらをきっかけとして、セキュリティという言葉を良く耳にするようになってきた。

 辞書で「セキュリティ」という単語を引くと、安全、保安、防犯、安心、保護、防衛となっているが、これらの言葉は文脈次第でさまざまに受け取ることが可能である。これは「セキュリティ」という言葉の持つ曖昧性を意味しており、このままでは、セキュリティをエンジニアリングの対象として一義的に考えることができない。(英語の辞書では日本語の辞書よりは具体的に定義されているものの、まだ曖昧性を残している)

 ここでは、セキュリティの基本的な考え方とその実現方法を考えるために、世の中におけるセキュリティの様々なケースから、考察によって導き出した「セキュリティの定義、実現要件とセキュリティポリシーの策定方法」、「機械警備とセキュリティの関係」、「リスクマネジメント、クライシスマネジメントと機械警備の関係」、そしてその定義と要件から導き出した数理モデルによるセキュリティの定量化手法」について述べる。

 さらに、「生産システムのセキュリティ」のようにこれまでセキュリティの対象として考えられて来なかったもののセキュリティを考えるために、上位概念的なセキュリティの概念を提言する。

 

セキュリティの定義、実現要件とセキュリティポリシーの策定方法

 セキュリティという言葉の持つ曖昧性を排し、エンジニアリングの対象として一義的に考えるために、ここではセキュリティを

 「正当な目的を持たないエージェントを管理区画の中に入れないこと」

と定義する。ここで、エージェントとは「ある意図をもって周りに働きかける動作をする(ように見える)もの」のことであり、具体的には、人、動物、機械、コンピュータプログラム、微生物等である。

 例えば、「屋内という管理区画の中に泥棒という正当な目的を持たないエージェントを入れないこと」、「コンピュータという管理区画の中に、コンピュータ内で悪い働きかけを行うエージェントであるウィルスプログラムを入れないこと」、「日本国という管理区画の中に、国内で悪い働きかけを行うテロリストというエージェントを入れないこと」、「人体という管理区画の中に、人体の中で悪い働きかけを行うインフルエンザウィルスを入れないこと」等、これらは全て上記の定義に則って考えることが出来るようになる。

 セキュリティの定義をこのようにおくと、それを実現するための要件は以下の4つとなる。

  1. 管理区画を明確にし、そうでない部分と区別すること。(ボーダーの明確化)
  2. 正当な目的を持つエージェントとそうでないエージェントを区別すること。(エージェントの区別)
  3. 正当な目的を持つエージェントにのみ管理区画への進入を許し、そうでないエージェントには管理区画への進入を許さない仕組みを作ること。(選択的進入許可)
  4. 正当な目的を持たないエージェントが上記仕組みを突破して管理区画へ入ってしまった場合、もしくは管理区画へ入ったエージェントが正当目的外の働きかけを始めた場合には、それを早急に検知し、対応する(排除、無力化する等)体制を作ること。(緊急対応準備)

 セキュリティの定義とその実現要件をこのようにおくことで、セキュリティという言葉が使われている世の中のケースの大部分が説明可能となる。(説明が出来ないケースについては後述する。)また、セキュリティを数理的にモデリングして、エンジニアリングの対象として扱うことが出来るようになる。

 これら4つのセキュリティの実現要件のうち、(1)(2)が「セキュリティポリシーの実現フェーズ」となる。これら2つを明確に規定することこそがセキュリティの原点である。しかしながら、残念なことにこれら2つを明確にしている事例をほとんど見ない。(3)(4)は「セキュリティシステムの実現フェーズ」に当たる。セキュリティについて考える際に、ついここだけに目が行きがちなので注意が必要である。実際、世の中において(3)(4)を実現するためのシステムは枚挙にいとまがない。しかしながら、セキュリティの原点である(1)(2)をおざなりにしていると、往々にしてセキュリティホールをつくってしまうことになるので、特に注意が必要である。

 「セキュリティポリシー」という言葉は、情報セキュリティの分野で認知され、世に広まってきている。そのため、情報セキュリティの分野では、セキュリティポリシーを策定するための方法論が既に確立し、雛型も色々存在する。そのため、文献を参考にすると、自分の組織のセキュリティポリシーを策定することは、比較的容易に実現できる。

 しかし一方で、現実世界のセキュリティ、すなわちフィジカルセキュリティの分野では、セキュリティポリシーという考え方自体、明確に意識されていない例がまだまだ多く、ポリシー策定の具体的方法論も確立していない。そのため、参考となる文献もほとんど存在せず、現実世界において、いざ、セキュリティポリシーを策定しなければならない段になると、途方に暮れてしまうということになる。

 繰り返しになるが、ここで述べた(1)(2)で規定した内容こそが「セキュリティポリシー」そのものである。あらゆる時間、あらゆる状況下において、これら2つを明確に規定していくことが、実際の世界でセキュリティを考える際に最も重要となる。そのため、これら2つを規定していく作業を行う際には、色々なベンダーから具体的なシステム実現の提案があったとしても、これに引きずられないように注意する必要がある。このセキュリティポリシーの策定検討作業は、決してシステム構築の片手間で出来るものではない。世に沢山いる「セキュリティシステムの専門家」ではなく、本当の意味での「セキュリティそのものの専門家」のコンサルティングを受けることも選択肢の一つに入れて、十分に吟味して慎重に行って頂きたい部分である。

 

機械警備(オンラインセキュリティサービス)とセキュリティの関係

図1 機械警備(オンラインセキュリティサービス)の基本モデル

図 1 機械警備(オンラインセキュリティサービス)の基本モデル

 セコムをはじめとする、人に「警備会社」と呼ばれる会社が提供している機械警備(オンラインセキュリティサービス)は、「物件」と呼ばれる警備対象に異常を検知するセンサーを配置して、そのセンサーが異常を検知した時にのみ、人が駆け付けて対応するというものである。

 機械警備による防犯対応は、基本的には警備対象が無人となることを前提としている。機械警備が、先に挙げた4つのセキュリティ要件をどう実現しているかについて考えてみる。

  1. ボーダー明確化:機械警備の場合、管理区画は無人を前提とした屋内空間となる
  2. エージェント区別:無人状態を前提としているため、管理区画内に人が現れた場合には、すべて正当目的を持たないエージェントとして扱うことが出来る
  3. 選択的進入許可:無人屋内空間を形作る建築要素(壁、ドア、窓、錠等)に依存する
  4. 緊急対応準備:ここで始めて異常検知センサー、通信回線、監視センター、人による緊急対応という警備会社で具体的に提供しているサービスが出てくる

 機械警備では、このような形で先の4要件が満たされて、セキュリティが成立する。セキュリティの要件のうち、警備会社が具体的に提供しているものは(4)のみであるところに注意が必要である。特に(3)については、警備会社側では対応することが難しいため、警備対象者側で十分に注意を払わなければならない。そうしないと、ここからセキュリティの要件が崩れ、セキュリティが成り立たなくなる。


リスクマネジメント、クライシスマネジメントと機械警備

図2 リスクマネジメントの3要素

図 2 リスクマネジメントの3要素

 最近話題になることが多い「リスクマネジメント」は、もともと組織経営手法として発展してきた実学的分野で、幅広い方法論を包含している。

 リスクマネジメントは、「リスク(損失発生の潜在可能性)を可能な限り取り除くこと」(リスクコントロール)と、「リスクが具現化し、損失として現れた際に、これが組織運営に大きな影響を及ぼさないような、金銭的手当をしておくこと」(リスクファイナンス)の2つに大別される。

 「クライシスマネジメント」については、リスクコントロールの一手法という解釈もできるが、ここではリスクコントロールから独立させて「突発事故発生直後の初動対応を予め定め、すぐに実行できるように準備しておくことで2次被害の拡大を防ぐこと」とおいて考える。すなわち、リスクマネジメントを、リスクコントロール、リスクファイナンス、クライシスマネジメントの3つの要素に分解して考えるものとする。

 このように分解すると、警備会社が提供している、先に挙げた機械警備というサービスは、クライシスマネジメントを提供しているサービスであることに他ならないことが解る。

 最近、機械警備を導入している建物にも関わらず、窃盗被害に遭うという事例は枚挙にいとまがない。ニュース等で伝えられる窃盗被害現場の映像で、バール等で無惨にこじ開けられた扉の脇に、機械警備の導入先を表す警備会社のステッカーが貼ってあるのをよく見かける。これを見て、「何だ警備会社と契約してもダメなんじゃないか」と思われる向きはあるかも知れない。しかしながら、この場合でも、クライシスマネジメントを提供するサービスである機械警備は、「万が一の時の被害拡大防止」という意味で、大いに効いているのである。

 仮に、機械警備が導入されていなかったという事態を想像してみて欲しい。ドロボウには、侵入後、その建物の中をゆっくり漁り、金目のものを一切合切盗ることの出来るたっぷりの時間がある。最悪の場合、ドロボウは逃走の際に証拠隠滅ために火を放つかも知れないのである。

 機械警備が「ドロボウから建物内部を物色する時間を奪い、被害を最小化する」クライシスマネジメントを提供するためのサービスであることが、いつの間にか忘れ去られている。機械警備は決して万能な防犯対策ではあり得ない。ドア、窓等、機械警備の管理区画である無人屋内空間を形作る建築要素の強化(リスクコントロールに相当)について、警備対象側で十分に注意を払って配慮する必要があるのは前に述べた通りである。

 これらに加えて、リスクファイナンス、すなわち万が一の時の金銭的損失補填手段としての損害保険についても、あらかじめ検討して付保しておくのが、よりよい防犯対策である。建築要素の強化等で「被害をゼロにする」対策に傾注しすぎると、それに必要なコストはどんどん膨らむこととなる。最適なコストで、損害の最小化を図ることが、リスクマネジメントの目的であることを忘れてはならない。


セキュリティの数理モデリングと定量化

 セキュリティの評価に関し、チェックリスト等による定性的な手法[1]が、多数提案されている。また、各チェック項目に点数を与えて、擬似的に定量表記し、実際に使われている例[2]もある。しかしながら、この手法では、主観の要素を完全に排することが出来ないため、セキュリティを、本当の意味でエンジニアリングの俎上に乗せて、積極的にコントロールする対象として扱うことは出来ない。ここでは、先のセキュリティの定義に基づく確率的アプローチによる、セキュリティの数理モデリングの手法について概説する。

 セキュリティと関連の深い保険業においては、リスクの定量的な大きさを「損失の発生確率」と「損失の期待値」の積で表している。この考え方と先のセキュリティの定義から、「セキュリティの大きさ」を、「非正当目的のエージェントが管理区画内に存在する確率」と「非正当目的行為に対する被害抑制度合い」の積で表すものとする。さらに、セキュリティは「万が一」を扱うものであるため、この「セキュリティの大きさ」は非常に小さいものになる。そのため、このままでは直感的な理解が難しいことから、対数を使って「定量化したセキュリティレベル」を以下の式で表す。

セキュリティレベル[S] = −log(損失発生確率[P]×損失期待割合[R])

 この定義は、人の感覚量が刺激量の対数に比例するという知見(フェヒナーの法則)にも矛盾しない。 ここで、PとRを、

P = エージェント存在確率[P1]×エージェント侵入確率[P2]×不測事態発生確率[P3]
R = 緊急対応が存在しない場合の損失最大割合[R1]×緊急対応による軽減後の損失割合[R2]

さらに、P2とP3を、

P2 = 遭遇頻度[p21]×試行確率[p22]×成功確率[p23]
P3 = 遭遇頻度[p31]×試行確率[p32]×成功確率[p33]

と分解し、「空き巣」(無人状態で入るドロボウ)を想定して、遭遇頻度(p21、p31)がポアソン分布、その他の確率過程(P1、p22、p23、p32、p33)が二項分布に従うものと仮定する。

図3 セキュリティレベルとエージェントの攻撃力の関係

図 3 セキュリティレベルとエージェントの攻撃力の関係

 

図4 「一般化したセキュリティ」の定量化ワークフロー

図 4 「一般化したセキュリティ」の定量化ワークフロー

 エージェント攻撃力、ボーダー防御力、予防対策強度、緊急対応強度、緊急対応所要時間のパラメータが正規分布に従い、それぞれがセキュリティレベルの構成要素に影響を与えるものとして、次の3つのシナリオを用意する。

  1. セキュリティ対策を講じない場合
  2. 防犯ガラスなどの採用による建物強化の物理的な強化対策を施した場合 (ボーダー防御力、予防対策強度の増加に相当)
  3. 機械警備(オンラインセキュリティシステム)を導入した場合 (ボーダー防御力、緊急対応強度の増加、緊急対応所要時間の短縮に相当)

これら3つのシナリオに対して、「エージェントの攻撃力」を変化させて、セキュリティレベルがどう変わるかについての、モンテカルロシミュレーションを試みた。その結果を図3に示す。

 この結果から、「建物の物理的強化」と「機械警備の導入」の2つの対策は、エージェントの攻撃力が小さい場合は同等の効果を示すものの、エージェントの攻撃力が大きくなると、「建物の物理的強化」対策に比べて、「機械警備導入」対策の方が、効果が大きくなってくることが判る。

 この結果は、こそ泥のように、あまり準備をせず、大した道具を持っていないドロボウに対しては、「建物の物理的強化」と「機械警備の導入」の2つの対策は同程度に有効であるものの、入念に下見をして、いろいろな道具を持ち、複数犯でやってくるような、組織的犯罪集団に対しては、「機械警備の導入」対策の方が、「建物の物理的強化」対策よりも効果的になってくることを示している。

 ここでは、「空き巣」を想定したパラメータを仮定してシミュレーションを行ったが、この数理モデルが、先にあげたセキュリティの一義的な定義に基づいていることから、例えば「コンピュータウィルスの侵入」、「人体に対するインフルエンザウィルスの侵入と発病リスクの評価」というようなケースにおいても、適切な確率モデルを選択することによって、同様の手法による定量評価が可能となる。

 この方法論は、確率モデル、パラメータを適切に選択し、理論と現実の乖離を少なくすることによって、セキュリティ対策の効果の検証、費用対効果を勘案した最適なセキュリティ設計の実施など、色々な場面において有効活用できる可能性を秘めているものと考えられる。


上位概念的「セキュリティ」

 ここまでに述べたセキュリティの定義、その実現要件は、世の中でセキュリティという言葉が用いられている多くのケースで適用可能な考え方である。一方、「食料やエネルギーの供給に関するセキュリティ」のようなケースでは適用が難しい場合もある。
ここでは、このような場合に対しても考察を加え、セキュリティを、

組織・システムの運用があらかじめ定められた計画に則って続けられ、要因の如何によらずそれが阻害されないこと

とおいた上位概念を提案する。この上位概念は、情報セキュリティで言うところの「可用性(Availability)」の拡張概念となっている。リスクマネジメント的概念であるといえる。このように定義することで、物理セキュリティ、情報セキュリティに関わらず、世の中でセキュリティという言葉で表されている事象のすべてを統合し、統一的に考えることが可能となる。


参考文献等
  1. 「建物・設備のセキュリティシステム技術調査研究」、電気学会技術報告書第950号
  2. 「一般化したセキュリティの数理モデリング」 、日本オペレーションズ・リサーチ学会 秋季研究発表会・仙台・2004/9/8〜9
  3. 「セキュリティの基本的考え方とリスクマネジメントとの関係について」、電子情報通信学科技術研究報告 Vol.104 No.528
  一覧へ戻る
ページトップへ