デジタル・フォレンジックとITリスク学の考え方とは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア <毎週月・木更新!>

- Home > コラム > インタビュー記事 > デジタル・フォレンジックとITリスク学の考え方とは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

佐々木良一 東京電機大学教授に聞く「デジタル・フォレンジックとITリスク学の考え方とは」

東京電機大学教授
佐々木 良一
「デジタル・フォレンジックとITリスク学の考え方とは」

ITリスク学について

 ―現在ご研究されているITリスク学についてはいかがお考えでしょうか。

佐々木氏 ITリスク学をどうして始めたかというと、IT部門内という狭い意味でのセキュリティの研究だけではまずいのではないか、と考えたためです。問題の根元として、社会全体が、ITシステムに依存している状況があります。そこで、例えば外からの不審者によって、システムがダウンしてしまう状況や、あるいはヒューマンエラーや、天災、機械の故障など、ユーザ側からすると止まってしまうことには変わりないわけです。だからトータルとして安全を守らなければならない。
 また、セキュリティと一言に言っても、機械・機能が停止する場合や、情報漏漏洩などのプライバシー問題など、様々なセキュリティが求められています。このような「広義のセキュリティ」を考慮した対策を練らなくてはならない時代になってきました。

ITリスク学の構成
ITリスク学の構成 (クリックすると拡大します。)
 「ITリスク」という言葉を使う理由は、セキュリティの問題は確率論的な扱いをする必要があるからです。セキュリティにおいて、いわゆる「ゼロリスク」というものは存在しません。リスクをゼロにするためには、対策を無限にしなくてはならないため、実際には不可能です。「リスク=影響の大きさ×発生確率」と評価をする形でアプローチを取らない限り、現実的な対策にならないのだと思います。
 一方、従来のセキュリティは故意の不正であり、狭い意味での範囲でした。ここに入るものとして、よく出てくるのが、ウイルス被害や、不正侵入でした。この領域に入るもので、今後考えていかなければいけないのが、サイバーテロや電子印鑑(=デジタル署名)の偽造です。それ以外に、個人情報漏洩や、デジタル・フォレンジックなどがあります。
 大規模システムのバグによるシステムダウンなどと、同様に扱っていくべきだということなのです。

「ITリスク学」では、このように広い意味で、セキュリティや、安全の問題を扱っていきたいと思っています。

 また、今の時代は1つのリスクへの対策をすると、別のリスクを引き起こす可能性がある「多重リスク」の時代に入ってきています。典型的な例がバイオエタノールです。エネルギー問題の解決のためにバイオエタノールを使った結果、食料問題というリスクを引き起こしてしまいました。こうした問題が他にもいっぱい起こっているわけですよね。単純にリスクに対する対策を考えればいいのではなくて、対策が引き起こす別のリスクも考えるべきだとも言えます。

 セキュリティ対策と、個人情報漏洩対策というのは両立する場合もありますし、対立する場合もあります。例えばセキュリティ対策としての公開鍵証明書の利用のために必要な情報は名前、生年月日住所といったものが挙げられますが、個人情報漏洩につながるという考え方もあるわけです。

ITリスク学を説明する佐々木氏ITリスク学を説明する佐々木氏
 適切なリスク対策のためにはリスクマネジメントだけではなくて、リスクアセスメント*1リスクコミュニケーション*2を含めた、総合的なアプローチが必要になります。
 リスクコミュニケーションは3種類ぐらいあって、個人的選択、社会的論争、組織内合意があるのですが、今後、これらが重要になってくると考えています。企業や家族がリスク対策をとる場合、従業員のことも考えなければならない、住民のことも考えなければならないといった様々な要因を考慮しながら、どういう対策の組み合わせがよいのかを決めていく必要があります。

これからについて

―ITリスク学は佐々木先生ご自身が発展させていかれるのでしょうか。

佐々木氏 いろいろな人と協力して発展させたいと考えており、日本セキュリティ・マネジメント学会内に、ITリスク学研究会を作りました。私自身は自分が開発した多重リスクコミュニケータ*3を様々な人が使えるようにしていきたいですし、またもう少し色々なところに適用していきたいと思っています。課題としては、次の世代が少ないということですね。教育していくしかありませんが、それが楽しみでもあります。これからの活動として、ITリスク学とデジタル・フォレンジックについては引き続き研究していきます。特に、ITリスク学については力を入れていきたいと考えています。


※このインタビューとセキュリティプラットフォームは一切関係ありません。



注釈

*1:リスクアセスメント
リスクの大きさを評価し、そのリスクが許容できるか否かを決定する全体的なプロセスのこと。

*2:リスクコミュニケーション
社会を取り巻くリスクに関する正確な情報を、行政、専門家、企業、市民などのステークホルダーである関係主体間で共有し、相互に意思疎通を図ることをいう。合意形成の1つ。

*3:多重リスクコミュニケータ
様々なリスクやコストを考慮しながら、最適の対策案の組み合わせを導き出して経営者や顧客、従業員などの意思決定関与者による合意形成を支援するためのツール。



【佐々木 良一(ささき りょういち)氏 プロフィール】

【現職】
東京電機大学 未来科学部 情報メディア学科 教授
NPOデジタル・フォレンジック研究会 理事

【略歴】
1971年3月東京大学卒業。同年4月日立製作所入所。システム開発研究所にてシステム高信頼化技術、セキュリティ技術、ネットワーク管理システム等の研究開発に従事。同研究所第4部長、セキュリティシステム研究センター長、主管研究長等を経て2001年4月より東京電機大学工学部教授、2007年4月より未来科学部教授。工学博士(東京大学)。

【業界関係・表彰など】
IEEE、情報処理学会、電子情報通信学会等の会員。情報処理学会フェロー。情報処理学会コンピュータセキュリティ研究会顧問。日本セキュリティ・マネジメント学会会長、情報ネットワーク法学会理事長、日本学術会議連携会員、日本ネットワークセキュリティ協会会長。

1983年電気学会論文賞、1998年電気学会著作賞、2002年情報処理学会論文賞、2005年システム制御情報学会産業技術賞受賞。2007年総務大臣表彰(情報セキュリティ促進部門)。2007年度「情報セキュリティの日」功労者賞。2009年情報セキュリティ文化賞。

【著作】
『ITリスクの考え方』(岩波書店) 2008年 
『情報セキュリティ事典』(共立出版)代表編  2003年
『インターネットセキュリティ入門』(岩波書店) 1999年
『インターネットセキュリティ 基礎と対策技術』(オーム社)共著 1996年 等


(掲載日:2009年3月2日)

Back


お問い合わせ

  コラムトップページへ▲