ミティゲーション【mitigation】
概要
ミティゲーションとは、軽減、緩和、低減などを意味する英単語。リスクマネジメントやサイバーセキュリティなどの分野で、脅威や被害を完全には除去できない場合にその影響を最小化する対策をこのように呼ぶことがある。
サイバーセキュリティにおけるミティゲーション
セキュリティ分野では、脆弱性そのものを修正するパッチが未公開または未適用の状態でも、攻撃の影響を抑える暫定措置を指すことが多い。ゼロデイ脆弱性への対応が典型で、根本修正が困難な期間中に、脆弱なポートへのアクセスを遮断したり、WAF(Web Application Firewall)によるフィルタリングを実施したり、問題機能を一時無効化するなどの対策を組み合わせて被害を抑制する。
DDoS攻撃の文脈では、「DDoSミティゲーション」という表現が定着しており、攻撃トラフィックを検知、吸収、分散してサービス継続性を保つ専用サービスや機器が存在する。MITREが公開する攻撃手法データベース「MITRE ATT&CK」でも、各攻撃技術に対応するミティゲーション策が体系的に整理・公開されている。
リスクマネジメントにおけるミティゲーション
リスク管理の枠組みでは、識別したリスクへの対応策を「リスク回避」(risk avoidance)、「リスク軽減」(risk mitigation)、「リスク移転」(risk transfer)、「リスク受容」(risk acceptance)などの種類に分類する。このうち、リスクのミティゲーション(軽減)は発生確率または発生した際の影響度を引き下げる措置を指す。
リスクの原因そのものを消し去る「回避」とは異なり、リスクの存在を前提としたうえで損害の程度を抑える措置を指す。例えば、システム障害のリスクに対する冗長構成の導入や、自然災害のリスクに備えた事業継続計画(BCP)の策定などが該当する。ISO 31000やNIST SP 800-30といったリスク管理フレームワークでも、ミティゲーションは対応策の基本類型の一つとして定義されている。
共有ボタンをタップ