エレベーターは「落ちない」のではなく「落ちられない」
みなさんは、エレベーターに乗るとき「このワイヤーが切れたらどうしよう」と考えたことはありますか?
おそらく、ほとんどの人が考えたことはないと思います。それは信頼しているからではありません。エレベーターは、ワイヤーが切れても落ちられない構造になっているからです。
エレベーターには、ワイヤーが切れた瞬間にレールを掴んで停止する安全装置が備わっています。これは1854年にエリシャ・オーチスという人物が発明したもので、170年以上前の技術です。重要なのは、この安全装置は誰かが監視していて、危険を検知してボタンを押すわけではないということです。ワイヤーが切れるという物理現象そのものが、自動的にブレーキを作動させます。
「落ちないように気をつけている」のではなく、「構造的に落ちることができない」のです。
この考え方を体系化したものが、安全工学(Safety Engineering)と呼ばれる学問分野です。
安全工学の基本思想 ― 「できない」をつくる
安全工学には、二つの有名な原則があります。
一つ目はフェイルセーフです。「故障が起きたとき、自動的に安全な状態になる」という設計思想です。信号機が故障すると、すべて赤になります。これは「誰かが気づいて対処する」ことを前提にしていません。壊れたら自動的に最も安全な状態に移行する、という構造をあらかじめ組み込んでいるのです。
二つ目はフールプルーフです。「人間が間違った操作をしても、危険な結果にならない」という設計思想です。電子レンジはドアが開いていると動作しません。USB端子は上下を間違えると物理的に入りません(少し前の話ですが)。人間の注意力に頼るのではなく、そもそも間違いが危険につながらない構造をつくります。
安全工学が繰り返し問いかけるのは、たった一つの質問です。
「人間の注意力や判断に頼らず、構造そのもので安全を保証できないか?」
この思想は、自動車、航空機、医療機器、原子力発電所など、私たちの生活を支えるあらゆる分野に浸透しています。国際規格IEC 61508は、この考え方を「機能安全」として体系化し、安全性のレベルをSIL(Safety Integrity Level)という段階で評価する仕組みを確立しました。
安全工学が成熟した分野になるまでには、多くの事故と失敗の積み重ねがありました。しかし、その核心にある思想は一貫しています。「してはいけない」ではなく「できない」をつくること。これが安全工学の本質です。
サイバーセキュリティの現在地 ― 「見つけて止める」
では、私たちのデジタル世界はどうでしょうか。
パスワードを設定します。ファイアウォールを導入します。ウイルス対策ソフトを入れます。不審なアクセスを検知するシステムを運用します。
こうしたサイバーセキュリティの仕組みに共通しているのは、「攻撃を検知して、対処する」というアプローチです。専門的には「検知と対応(Detect and Respond)」と呼ばれます。
これを安全工学の視点で見ると、明らかな違和感があります。
サイバーセキュリティは、「人間(またはシステム)が異常を見つけて、正しく判断して、適切に対処する」ことを前提にしているのです。
もし安全工学の専門家がサイバーセキュリティの世界を初めて見たら、おそらくこう言うでしょう。
「なぜ、エレベーターのワイヤーが切れたことを監視カメラで見つけてから、人がブレーキを押しに行く設計にしているのですか?」
極端な例えに聞こえるかもしれません。しかし、構造的に見れば、これが現在のサイバーセキュリティの基本的な姿です。攻撃が起きたあとに検知し、人やシステムが判断し、対処する。その間に被害が広がるリスクを常に抱えています。
もちろん、暗号化やアクセス制御のように、構造的な保護もサイバーセキュリティには存在します。しかし、業界全体を見渡すと、投資の大半は「いかに早く攻撃を見つけるか」「いかに素早く対応するか」に向けられています。
同じ問題、違うアプローチ
ここで立ち止まって考えてみましょう。
安全工学が守りたいもの。それは「システムが意図しない危険な状態に遷移しないこと」です。
サイバーセキュリティが守りたいもの。それは「システムが攻撃者によって意図しない状態に遷移しないこと」です。
お気づきでしょうか。本質的には同じ問題です。
原因が物理的な故障であろうと、悪意のある攻撃であろうと、守りたいことは同じです。「システムが、あるべき状態を維持し続けること」。
にもかかわらず、安全工学は「そもそも危険な状態になれない構造」を追求し、サイバーセキュリティは「危険な状態を検知して元に戻す運用」を追求してきました。
同じ目的を持ちながら、まったく異なる方法論を採用しているのです。
なぜ統合されなかったのか
この二つの分野が別々に発展してきたことには、歴史的な理由があります。
安全工学は、19世紀の蒸気機関の爆発事故や、20世紀の航空機事故、原子力事故といった物理世界の惨事から生まれました。守る対象は人命と環境です。物理法則に基づいて設計し、物理法則によって安全を保証します。
一方、サイバーセキュリティは、1980年代以降のコンピュータネットワークの普及とともに生まれた、比較的新しい分野です。守る対象は情報です。そして相手は物理法則ではなく、創造的に攻撃方法を変え続ける人間の悪意です。
この「物理 vs デジタル」「法則 vs 悪意」という対比が、二つの分野を分断してきました。
学会も別々です。規格も別々です。使う言葉も、育ってきた文化も違います。安全工学の専門家がサイバーセキュリティの学会に行くことは稀ですし、その逆もまた稀です。
しかし、この分断は本当に正しいのでしょうか?
IoT(モノのインターネット)が普及した現在、自動車はネットワークにつながり、医療機器はクラウドと通信し、工場の制御システムはインターネットからアクセスできるようになりました。物理世界とデジタル世界の境界は、すでに消えつつあります。
サイバー攻撃が物理的な被害を引き起こし、物理的な故障がセキュリティの穴を生む。この現実の中で、安全工学とサイバーセキュリティを別の分野として扱い続けることに、どれだけの合理性があるのでしょうか。
「してはいけない」から「できない」へ
安全工学の歴史が教えてくれることがあります。
安全の世界でも、かつては「規則を守れば安全」という考え方が主流でした。作業手順を決め、教育を行い、違反者を罰する。しかし、事故は減りませんでした。人間は疲れます。忘れます。焦ります。どんなに優秀な人でも、24時間365日、完璧な判断を続けることはできません。
だからこそ安全工学は、「してはいけない(should not)」から「できない(cannot)」へと進化しました。人間の注意力ではなく、構造そのもので安全を保証する方向に舵を切ったのです。
サイバーセキュリティも、同じ岐路に立っているのではないでしょうか。
「パスワードを使い回してはいけない」「不審なメールを開いてはいけない」「アップデートを怠ってはいけない」。こうした「してはいけない」に依存するセキュリティは、安全工学がかつて乗り越えた段階と同じ場所にいます。
では、「構造的に安全なサイバーセキュリティ」は可能なのでしょうか?
攻撃を検知して対応するのではなく、そもそも攻撃が成立しない構造をつくることは、デジタルの世界でも実現できるのでしょうか?
安全工学がエレベーターを「落ちられない」構造にしたように、サイバーセキュリティも「侵害できない」構造にすることはできるのでしょうか?
おわりに
この記事では、安全工学とサイバーセキュリティという二つの分野が、本質的には同じ問題に取り組んでいること、そしてその方法論に大きな隔たりがあることをお話ししました。
安全工学は170年以上の歴史の中で、「できない」をつくるという思想にたどり着きました。サイバーセキュリティがこの思想を本格的に取り入れたとき、どのような姿になるのか。
この問いに対する一つのアプローチを、Runtime Stabilityという概念として整理しています。安全工学が物理世界で確立した「できない」という設計思想を、サイバーセキュリティに適用するためのフレームワークです。