スイスチーズモデルによるサイバー攻撃への対策

現状のデジタル世界では、スマートフォン、タブレット、コンピューターなどのデバイスがインターネット上の通信や金融取引を行うための不可欠なツールになりつつあります。また、企業データや個人データをこれらのデバイス間でやり取りすることは、我々の日常生活の中で当たり前のことになりました。

一方、コンピュータウイルスは、各デバイスにアクセスして機密データを盗むために開発されています。例えば、銀行口座やクレジットカード番号を窃取したり、暗号通貨を盗んだりするのに悪用されるボットが開発されています。

対策として、デジタル資産を保護し、組織へのサイバー攻撃のリスクを軽減するために、サイバーセキュリティ戦略が各企業により策定されています。

サイバーセキュリティ対策は様々あります。例えば、以下は物理的な対策です。

不明なUSBフラッシュドライブを使用しないこと（必要な場合は、必ずウイルススキャンを実行してから使用すること）
疑わしいSMSや電子メールをクリックしたり、開いたりしないこと
ファイアウォール、又はウイルス対策ソフトをインストールすること

　今日は「スイスチーズモデル」という対策をご紹介します。

スイスチーズ若しくはグリュイエールチーズと言えば、「トムとジェリー」のアニメを思い浮かべる方も多いでしょう。ジェリーがよくキッチンからチーズを盗んで食べますが、盗んだチーズは丸い穴がたくさんあります。

それらの穴はどう造られているか言いますと、チーズを長期間保存したら、その中に炭酸ガスが発生して穴ができてしまうのです。

チーズをスライスすると、スライスしたチーズにはそれぞれ穴が散らかっていて、サイズも位置も同じではありません。そして、スライスチーズを何枚も組み合わせると、最初から最後まで穴が一致しなくなります。

このようなスライスチーズの特徴により、英国マンチェスター大学の心理学教授であるジェームズ・リーズンが、スライスチーズによる攻撃を防ぐためのアイデアを思いつきました。彼は、スペースシャトルの爆発やチェルノブイリ原子力発電所の爆発など、以前の致命的な事故について説明している「ヒューマンエラー」の著者です。

スイスチーズモデルの考え方として、スイスチーズをスライスし、各スライスがどのような役割を果たすかを指定しておきます。スライスチーズには穴が開いていますが、穴の形と位置が異なります。複数のスライスチーズを重ね合わせたら、穴は埋まりますので、何も通さなくなります。しかし、スライスの穴が揃ったら、故障が発生します。つまり、全ての防御層を通過して重大な事故を引き起こします。

スイスチーズモデルの概念をサイバーセキュリティ対策に適用する場合、次のようになります。

上記の図により、スライスAが物理的なフィルターであると想定しましょう。例を挙げますと、ユーザーのPCにはUSBフラッシュドライブのスロットがありますが、ユーザーはそれを使用していません。但し、ユーザーは意図せずに安全でないウェブサイトにアクセスする可能性があります。そのため、ハッカーは開いている穴を通り抜けてスライスBまで到達します。その場合、スライスBではIPアドレスがファイアウォールによってフィルタリングされるため、一部のハッカーはスライスCを通過できません。

それでも、ハッカーはファイアウォールを通過できてしまった場合、スライスCのマルウェア対策アプリによって削除されます。

マルウェアを検出できず、ハッカーはスライスDを通過した場合、管理者システムを通り抜けられません。最終的に、もしハッカーは全ての多層的な防御を通過したら、セキュリティのレイヤーを追加する必要があります。

下記の図は、スイスチーズモデルによるサイバーセキュリティ対策を行う例です。