叡智の三猿

~情報セキュリティで森羅万象を捉える~

風に吹かれて

ボブ・ディランのオンラインコンサート(Shadow Kingdom)を観ました。日本では朝6時開始予定でしたが、10分弱遅れてのスタートでした。チケットを購入してから、今日のコンサートを楽しみにしていたのですが、もう80歳になるディランですので「ちゃんと声、出るのかな~」と、不安もありました。

しかし、始まるとその不安は消し飛ばされ、早朝から興奮と歓喜が身体に充満しました。いままで見たライブのなかでも、最高の選曲、最高の演奏、最高の声質、最高の演出かもしれません。本当にかっこよすぎて、なぜか声を出して笑ってしまいました。

演奏時間が50分くらいと、短かったのが残念だったのですが、80歳のディランが歌う「Forever Young(いつまでも若く)」に、元気と勇気をもらいました。

f:id:slowtrain2013:20210719072119j:plain
コンサートの開始を告げるカウントダウン

さて、ボブ・ディランの名曲は数多くあるのですが、世界的に有名な一曲といえばやはり「風に吹かれて(Blowin' in the Wind)」でしょう。
youtu.be
ディランはこの歌で「砲弾はどれほど飛びかうのか、それが永遠になくなるまでに」「死はどれ程もたらされるのだろうか、余りに人が死に過ぎたと気がつくまでに」と問います。

反戦歌として知られるこの曲は最後にこのフレーズで締めくくられます。

The answer, my friend, is blowing in the wind
(我が友よ、その答えは風に吹かれている)
The answer is blowing in the wind
(そう、答えは風に吹かれている)
~Blowin’ in the Wind/Bob Dylan

わたし達は、この歌詞を見たとき、ふたつの異なる感想を抱くと思います。

ひとつは「風に吹かれて」という詩的で情緒的な表現です。この表現はとても美しいので、数多くのミュージシャンや作家が言葉を転用して作品を作っています。

そしてもう一つは「戦争を無くすための解決策がない」という中途半場な表現です。

世界中の誰もが戦争をして命を落としたいなどとは思わないはずです。しかし、戦争を無くすための解決策は見いだせません。ーーー「答えは風に吹かれている」としか言えないのです。

そして、今日は武器を使った戦争だけではありません。サイバーセキュリティというネットの裏側で起きる戦争もあります。人間とIoT(Internet of Things)が深く関わりをもつことで、わたし達はたくさんの利便性を享受しています。また、新型コロナによるリモートワークは否応なく、仕事のIT化を促進しました。TrelloやJiraのようなコラボレーションツール、Slackやchatworkのようなチャットツール、zoomやteamsなどの会議ツールなどは、この2年で多くの会社が仕事で取り入れていると思います。しかし、もしIoTの制御が攻撃者の手に渡ると、便利なはずのITは狙われます。それは、わたし達の命さえも脅かします。

下の記事のように、ランサムウェアという身代金を要求するマルウエア感染によって医療システムがダウンし、病院側で救急患者の受け入れが出来ず、結果的に患者の治療が遅れて死亡するようなことがあります。
securitynews.so-net.ne.jp
IT機器がわたし達の生活や仕事で身近になればなるほど、わたし達の生活や仕事は脆弱性に溢れてきます。

情報セキュリティでは「脅威」「脆弱性」「リスク」という言葉がよく使われます。これらは、次のように使い分けされています。

言 葉
意 味
脅 威 情報セキュリティ(機密性、完全性、可用性)を損なう可能性のある要因
脆弱性 脅威がつけこめることができる組織や情報システム
リスク 脅威が資産の脆弱性につけこむことで、組織に損害を与える可能性や影響

脆弱性の特徴とその深刻度を統一的・定量的に評価する手法に、共通脆弱性評価システム(CVSS:Common Vulnerability Scoring System)があります。

CVSSは次の3つの評価基準を使います。個々の評価基準で算出された深刻度は0~10の数値で示されます。

基本評価基準

脆弱性そのものを評価する基準です。情報セキュリティの3要素である「機密性」「完全性」「可用性」に対する攻撃の影響を評価します。基本評価基準による結果は固定です。時間や環境の違いによる変化はありません。

現状評価基準

現在の脆弱性の深刻度を評価する基準です。脆弱性に対する攻撃コードの有無や、対策状況の有無を評価します。基本評価基準と異なり、脆弱性の対応状況に応じて、時間の経過により評価結果は変化します。

環境評価基準

製品利用者の利用環境を含めた、最終的な脆弱性の深刻度を評価する基準です。環境評価基準による評価結果は、脆弱性に対して想定される脅威に応じて、製品利用者により変化します。

共通脆弱性評価システム (Common Vulnerability Scoring System) Version 3.1 Calculator(CVSSv3.1計算ソフトウェア)
Common Vulnerability Scoring System Version 3.1 Calculator