今だから再認識したいセキュリティの原則 SVOで考えるセキュリティ

セキュリティをSVOで理解する

中学校で習う英語の文法のうち、第3文型であるSVOを思い出してみてください。SはSubjectで主体または主語、VはVerbで動詞、OはObjectで対象または目的語を指します。日本語の語順にすると、S=「誰が」、O=「何に」「何を」、V=「何ができる」「何をした」になりますが、それぞれを明確にすることで、セキュリティ対策とはどうあるべきかが見えてきます。いわばSVOを意識することが、セキュリティを考える際の第一歩になるのです。ではSVOを明確にすることがなぜ重要なのか、それぞれ具体的に見ていきましょう。

S：アクセスする主体を明らかにする

まずはS=「誰が」から始めましょう。サイバー空間で「誰が」を明らかにすることは、私が私であることをコンピューターに理解してもらうのと同じことです。コンピューター上の名前に相当するID（識別子）を登録し、それを本人しか知らない情報（パスワードなど）や本人しか持っていない物（クレジットカードなど）、本人の生体情報（指紋など）と結び付けます。管理者の目線で言えば、これにより、誰がシステム上でどのようなことをしたか、誰がどのようなデータにアクセスできるかを明らかにすることができるようになります。

O：扱うものを明らかにする

次にO=「何に」「何を」を考えてみましょう。これも主語と同じで、誰が何を扱うかをコンピューターが把握する上で重要な観点です。例えば、あなたが歩いている時、誰の物かが分からないかばんが道に落ちていたとします。そうした場合、むやみに触ることはせず、警察に通報する方が多いのではないでしょうか。サイバー空間でもそれは同じで、あなたが知らない、または信頼できないと判断したものを触ることは非常に危険です。サイバー空間では、それに「触ることができる」と知っていること、つまり安全が確認されているものとそうでないものを区別できるようにすることが重要です。コンピューター上の資産管理や構成管理、脆弱性管理などを通じて扱うものを明らかにする行為が当てはまります。誰が（S）、ハードウェアやソフトウェア（O）を管理していて、そのバージョンは〇〇で、どのソフトウェア同士がつながっていて、そのソフトウェアはどのハードウェアに保管されている……。こうした情報を把握しておくことが大切です。

V：何ができるか、何をしたか

最後にV=「何ができる」「何をした」です。それぞれ考えてみましょう。

まずは「何ができるか」です。「誰が（S）」「何に（O）」「何ができるか（V）」ということですが、これはアクセス管理に言い換えられます。

• 丸山は（S）、顧客データを（O）見ることができる（V）
• 丸山は（S）、会計データを（O）変更することができる（V）
• 丸山は（S）、バックアッププログラムを（O）実行することができる（V）

といった内容が当てはまります。丸山が顧客データを見る必要がなければ、閲覧権限を付与しないようにする。丸山がバックアップ業務に関わっていないのであれば、そのようなプログラムを実行できないようにする。このように、誰が何に対して何をできるのかを把握することが重要です。

次に「何をしたか」です。コンピューター上で「誰が（S）」「何に（O）」「何をしたか（V）」の記録を取り、必要に応じて分析することが当てはまります。いわゆるログ管理に関連するものです。これにより、例えば、誰が（正確にはどのIDが）個人情報を外部に送信したのかを調べることができます。逆も然りで、誰が個人情報を外部に送信していないのかも同時に調べることができます。こうした記録は、不正やミスに気付くきっかけや、不正をさせない抑止力になると同時に、自分が不正やミスをしていないことを明らかにする上でも非常に重要と言えます。