桶の理論とは何か?

皆さんは、桶の理論をご存知でしょうか?セキュリティにおける桶の理論とは、各種セキュリティ対策はバランス感覚が重要だということを示した格言です。

木でできた桶があります。この桶は縦方向に複数の板張りで作られています。そしてその板の高さが、バラバラになっているという状態を想像してください。

この桶に水を注ぎ込んだらどうなるでしょうか?

水は下からどんどんと溜まっていき、最も高さが低い板の位置で外に漏れ出てきます。ここで桶は各種のセキュリティ対策を表していて、水は機密情報や個人情報といった、セキュリティを確保しなくてはならない対象です。

つまり、重要情報は各種セキュリティ対策のうち、最も対策のレベルが低い所から漏洩する、という意味を示しているのです。

これは非常にシンプルな考え方ですが、重要です。セキュリティ対策にはさまざまなものがあります。各人が気をつけなくてはならない人的対策もそうですし、当然ながら技術的なシステムの導入なども対策です。また、ルール作りなどは組織的な対策といえます。このような各種対策のうち、最も弱い箇所からセキュリティは破られてしまうのです。

これが何を意味するかというと、例えば人的なセキュリティが脆弱な状態、すなわち板の高さが低い状態で、鉄壁ともいえる防御ソリューション(そんなものは残念ながらありませんが)を導入して、板の高さを高めても意味はないということです。つまり、各種対策をバランス良く確保していくことが必要であるといえます。

人のセキュリティは脆弱

各種セキュリティの中でも、人のセキュリティは弱点になることが多いです。セキュリティ対策製品は原則として定められた通りに動きます。そのため、ミスをするということは考えられませんが、それを設定する人間はしばしばミスをします。また、ソーシャルエンジニアリングという言葉がありますが、フィッシング詐欺やビジネスメール詐欺など、人の油断や弱みにつけ込む攻撃は非常に効果が高いと言われています。普段は怪しいメールに気をつけている人も、忙しい時や、体調が悪い時には、不審な添付ファイルを開いて、マルウェアに感染することがあります。

この辺りは、セキュリティに予算をつぎ込んでもなかなか直接的に改善していくことが難しくなっています。そんな中で、高度な防御システムを導入しても効果は薄いということになります。

サプライチェーンにも応用できる

このようにバランスのとれたセキュリティ対策を行うことを示す桶の理論は、別な観点にも応用がききます。

端的な例としては、サプライチェーン全体でのセキュリティ確保です。サプライチェーン攻撃という言葉があり、IPAのセキュリティ10大脅威に取り上げられているため有名になっています。これは、攻撃者のターゲットが、セキュリティレベルの高い大企業などの場合、直接そこを攻撃して狙っている情報を奪うことは難しいので、比較的セキュリティレベルの低い関連会社や取引相手をまず攻略し、そこから本丸の企業の情報を狙うという攻撃手法です。

これも桶をイメージしていただくと、サプライチェーン全体のうち、最もセキュリティレベルが低い組織から情報漏洩につながる、と言えます。

このように、少し視線を上げて大局を見ても、桶の理論の考え方が活用できるのです。

まとめ

このように、桶の理論はバランスのとれたセキュリティ対策の重要性を説く、とてもシンプルな考え方です。しかし、1組織のセキュリティ対策の方向性を見出すのに用いるだけではなく、サプライチェーンのような、より大規模な範囲でより根本的なセキュリティ戦略を検討する際にも役に立つ考え方だといえます。

サイバー攻撃や内部不正行為が高度化している現代においては、常にセキュリティ対策の向上を適切に図っていく必要があります。しかし、その方向性を間違えてしまうと、高さの低い板から水は簡単に漏れ出てしまいます。この点を常に意識しながら、最も低い板に着目して、その弱点を補っていく方向でセキュリティ対策をとっていくのが重要です。ぜひこの桶の理論の考え方は念頭に置いておきましょう。

一般