Search results

近年，社会の情報システムへの依存度の増大に伴い，情報システムの安全性を評価し，適切な対策案の組み合わせを求めるための統合的リスクアセスメント手法の重要性が増してきている．しかし，最近，増大してきているリモートメンテナンスを伴いフィードバック機能を有するIoTシステムを対象としたリスクアセスメント手法は提案されていなかった．そこで，フィードバック機能を持つシステムにリスクをもたらすハザード要因（HCF：Hazard Causal Factor）を，STAMP/STPA法を改良した手法を用い，広く効率よくリストアップできるようにするとともに，そのようにしてリストアップされたHCFのうちリスクの大きなものを，拡張フォルトツリーなどを用いた準定量的分析によりリストアップできるようにしている．次に，リスクの大きなHCFに対応するための対策を抽出し，対策案ごとのリスク低減効果や対策コストを定量的に関連付けることにより，コストとメリットのバランスよい対策案の最適組み合わせを求めることができるようにした．このようにして開発した手法と，そのための支援用プログラムを，インスリン自動注入システムに適用することにより，リスクが大きいHCFに対応した対策案の最適な組み合わせを具体的に求めることができるとともに，手法を類似システムへ適用することが可能である見通しを得た．

民事訴訟の増大などに伴い，種々のインシデントが発生した際に，将来行われうる裁判で証拠として使用できるようにするための電磁的記録の収集や分析の技術およびその手順であるデジタル・フォレンジックが重要性を増している。本稿では，デジタル・フォレンジックの定義や手順の概略を最初に記述する。次に，内部からの情報の流出事案を例にとり事前準備段階，データの収集段階，データの復元段階，データの分析段階，報告書の作成段階ごとにその方法を解説する。そして，多様なデジタル・フォレンジックの分類軸を示し，全体像を示すとともに，データ復元技術等について少し詳しく説明する。最後に，ネットワーク・フォレンジック技術等，今後重要性が増すと予想される技術に言及する。

社会のITシステムへの依存度の増大に伴い，ITシステム関連の安全の問題を故意の不正だけを対象とするのではなくシステムの故障やヒューマンエラーも同時に扱い，従来の「情報セキュリティ」の概念だけで扱うのではなくプライバシーやリライアビリティ更にはユーザビリティなどの問題も併せて扱うべき時代になっていると考えられる．このため，筆者らはこのような問題を「ITリスク」の問題として広くとらえ，安全の問題に不可欠な不確実性を考慮し確率論的な扱いを行うこととするとともに，一つのリスク対策が別のリスクを引き起こすという「リスク対リスク」あるいは「多重リスク」の問題を正面から扱うこととし，そのための学問を「ITリスク学」と名付け研究を行ってきた．この間，この「ITリスク学」の発展のために，基本的な考え方を佐々木良一「ITリスクの考え方」（岩波新書，2008）としてまとめるとともに，日本セキュリティ・マネジメント学会の中に「ITリスク学研究会」を2008年5月に設立し，活動を続けてきた．本稿では，なぜ，「ITリスク」という概念や，「ITリスク学」という学問が必要であると考えたかについて述べた後，技術と社会と安全の関係を考慮しつつITリスク学の現状を報告するとともに，今後の展開について記述する．