欧米の新潮流は「CCE」、事業被害と攻撃者視点からの対策で重要インフラを守る

　「文明、国家、ビジネスを害しようとする攻撃者に対抗するためには、防御する側のミッション（企業使命）が最も重要であり、それを守るためには優先順位づけが必要だ」--。米エネルギー省傘下のアイダホ国立研究所でシニア・グリッド・ストラテジストを務めるアンドリュー・ボフマン氏は、こう指摘する（写真1）。

写真1：米アイダホ国立研究所 シニア・グリッド・ストラテジストのアンドリュー・ボフマン 氏

CFAでミッション遂行を阻害する要素の優先順位を付ける

　そうした考え方の元、重要インフラサイバーセキュリティの新しい潮流として欧米で広がるのが「CCE（Consequence-driven Cyber-informed Engineering）である。事業被害（コンシークエンス）と攻撃者視点から制御システムなどのサイバーセキュリティ対策を構築するための方法論だ。

　CCEを包含し「守るべきもの」に優先順位を付けるための上位概念に「CFA（Critical Function Assurance）：重要機能保証」がある。企業などにとって重要機能／サービスを、依存性を理解した上であらゆる混乱からも維持・提供する。その過程で「IT（Information Technology：情報技術）やOT（Operational Technology：制御技術）といった範ちゅうで考えていては気づかなかったような、隠された依存性に起因するリスクが発見できる」とボフマン氏は、その必要性を話す。

　例えば2021年5月、米国最大の石油パイプラインを運用するコロニアル・パイプラインは大規模なランサムウェア（身代金要求型不正プログラム）攻撃を受けた。「非常にシンプルなランサムウェア攻撃だった」（ボフマン氏）にも関わらず、燃料を東部地域に輸送する経路を攻撃され６日間の操業中断に追い込まれた。「ランサムウェア攻撃に対し、暗号化されたシステムの重要性を事前には誰も把握しておらず、そこにアクセスできなくなることで操業が止まるとは考えていなかった」（同）からだ。

　政府機関や企業がミッションを果たしていくうえで最も重要なのは、「それを支える『インフラストラクチャ』『人』『プロセス』『テクノロジー』だ」とボフマン氏は指摘する。「これらの機能を注意深く見ていけば、想像できなかった隠れたリスクにたどり着ける」（同）とする。

　CFAのアプローチでは、まず「影響度合いや被害の甚大さによる優先順位付けであり『何があろうと守らなくてはならない』重要な機能を特定する」（ボフマン氏）。そのうえで各機能と他の組織との提供・依存関係などについて掘り下げれば「外部の敵対者や干渉をどう阻止すれば良いかが見えてくる」（同）という（図1）。

図1：CFA（Critical Function Assurance）では事象ベースでサイバー脅威を分析する