コラム

リスクマネジメント / 情報セキュリティ / 情報セキュリティ

情報セキュリティ散策 第5回:戦略的対応のすすめ

2013年02月06日

 年が変わったが、相も変わらず情報セキュリティとリスクということについて考えている。情報セキュリティが専(もっぱ)らテーマとしているのは、いわゆる恣意(しい)的な脅威のリスクで、恣意性を持った者によって情報が盗み出されることや、侵入され改竄(かいざん)されることを防衛するのを主たる関心事としている。
とすると、もともとは割合単純な話。要するに泥棒か暴漢に備えればいいということだ。泥棒や暴漢は、それらしい振る舞いをしていそうだし、そんなに巷(ちまた)にあふれてはいないだろうから、侵害されるのは少々特別なことという認識で情報を防衛することを考えればいい。

 ところがここにコンピュータシステム上の電子情報が対象として加わり、侵入ルートとしてインターネット等のネットワークが関わってきたことで、話が急激にややこしくなってきた。電子情報は物理的質量がはっきりしないので、盗まれたことが判別しにくい。目立たないので盗み方も多岐に渡る。
さらにインターネットという無法地帯が関連するに至って、何者か素性も知れぬ者たちが、姿を見せず簡単に情報の保管庫に近付き、中身を持っていったり壊したりできるようになった。下手をすればやられたことにさえ、気付かない場合もある。

 物理的な情報を物理的な方法で盗むか壊すことしかなかった従来に比べれば、今ではずっと簡単にいろいろな方法で情報セキュリティを侵害できる。情報の多様化によって生じた情報セキュリティに対する攻撃方法の多様化である。
さて、防ぐ方の立場で考えよう。攻撃の多様化をディフェンスの強化で防ぎきろうとすれば、これは過剰防衛になる。多様化を多様化で受けようとすると、非常に難しい仕掛けがいる。
いずれにしろセキュリティのコストが跳ね上がる。情報資産が高価値でしかも守るのに湯水のように資金を投入できる一部のお金持ちはともかく、通常の人たちはこのやり方は続けていられない。

 そこで、防衛にもランクをつけて、守るべき対象を絞り込むとか、いくつかのケースはあきらめるといった選択が必要になるのである。これをカッコ良く言うと戦略的対応ということになる。つまり、大金持ちならざる者には戦略的対応は必然であって、何も高貴なる思想に促されているわけではないのである。いや、価値ある資産を持った大金持ちこそ、さらなる戦略的対応が必要なのだとも言える。
ということなので、単純にあっけらかんと考えたい人にはあきらめてもらって、情報セキュリティの戦略的対応について考えてみたい。いうなれば、防衛の選択と集中である。やり方は以前にもお話したリスクアプローチというのが基本になる。

 さて、戦略的対応を考えるうえで、ポイントになると思われるのは被害の大きさをどう見積もるかというところである。
うまく戦略をたてるにはこれは必須である。被害額、すなわち侵害された情報の価値を決めるのは何であろうか?一般的にはその情報を使って何ができるか?情報がなくなると何ができなくなるか、などに依存すると思われる。するとこれを考えるには、情報がどう使われているかを把握している人が有利であろう。
例えば、頻繁に情報を使って行う業務に従事している人なら問題ない。
ところが、多くの企業で情報セキュリティを担当している人は、情報を使う場面とはあまり縁がない人だったりする。これだと情報の重要性を取りまとめるのは、結構な難問になる。

早乙女 真
​​MENU