「セキュリティ」は、情報システムに関わる誰もが常に高い関心を示す話題である。だがその一方で、実際の開発・運用の現場では、納期やコストといった現実的で世知辛い都合から、なしくずし的に軽んじられることが多いのもまた事実である。システムは「動いてナンボ」のものなので、とにかく「動かすこと」が最優先されるのは致し方ない部分もあるだろう。しかし、だからといってセキュリティを軽視しすぎると、後で本当に取り返しのつかない事態を招きかねない。どんなシステムであっても完璧なセキュリティなど有り得ないが、だからこそ、どこまで守りを固めるべきか、正しいデータと正しい知見に基づいて判断されねばならいとも言えるのだ。

そこで、やはり必要になるのが、「セキュリティを定量的に評価するための指標」である。どんなデータを集めて何を基準に判断すれば、定量的な評価として説得力のある結果が導き出せるだろうか。

セキュリティの強弱を測るひとつの指標として、それを破るのにかかる「時間」を基準にする考え方がある。例えば、2種類の暗号方式で暗号化された、「A」「B」2つのパスワードがあったとしよう。暗号解読プログラムを用いて解読を試みたところ、解読完了までに要した時間はパスワードAが28時間、パスワードBは7時間だった。この場合、AはBよりも「4倍」堅牢なパスワードであると言えるわけだ。この場合、導入や運用にかかるコスト等他の諸条件が同じなら、迷わずAの暗号方式を採用するのが吉、である。

セキュリティの強さだけでなく、情報システムに対する「脅威」を測る場合にも、「時間」は指標として使えるだろう。例えば、同じ「ウィルス感染」でも、それによってデータが消失した場合と、個人情報を流出させた場合では、感染以前の状態に復旧するのに要する時間は大きく異なる。データ消失だけなら、バックアップから書き戻せばものの数分で復旧できるが、個人情報を流出させた場合、被害範囲の調査やら関係者への謝罪も含めると、信頼回復にかかる時間は莫大なものになるのである。データ消失は1時間分の脅威、データ漏洩は1年分の脅威、といった具合に時間基準で記述すれば、きちんと「説明責任」を果たせる形で脅威を語ることが可能になる。

ただ、「時間」を指標として扱う場合、いろいろ難しい面もないわけではない。先のパスワードの例でいえば、AもBも1カ月間ぶっ通しで解読しようと試みたが解読できなかった場合、その結果をどう結論付けるかという問題がある。一般的には「どちらも30日以上の強度を持つ極めて強固な暗号なのでどちらでも可」という結論になるわけだが、実際に攻撃者が現れた場合に、同じようにAもBも1カ月かかっても解読できないだろうという保証はどこにもない。ものすごく高性能なハードウェアにかけられたら、実はBはAの4分の1の強度しかなかった、ということだって有り得るのである。

さらに、時間による評価指標は、評価に費やせる時間に結果の精度が左右されやすいという問題があるだろう。暗号強度の評価に1カ月まるまるかけられれば良いが、実際にはもっと短期間で結論を出さねばならないケースの方が多いはずだ。実務的な評価を考えた場合に、時間だけを頼りに評価手法を考えるのは、ちょっと難しいのかもしれない。

セキュリティの問題は、企業の情報システムにとって大きな脅威となり得る要素が多いだけに、定量評価しましょうと言ってもそう単純に指標を決められるものではない。トンチンカンな評価をしないためにも、まずは様々な先人・有識者達が取り組んできた評価手法から勉強していくべきだろう。幸いこの分野の研究は、ネット上にも様々な資料がありそうだ。そこで次回からは、セキュリティ分野の定量評価手法について勉強になりそうな研究や文献を探し、いくつかピックアップして拾い読みしていくことにしたいと思う。多少アカデミックで難しい内容になるかもしれないが、是非皆さんも一緒に考えて頂きたい。