コラム

リスクマネジメント / 情報セキュリティ / 情報セキュリティ

情報セキュリティ散策 第6回:負けパターン

2013年03月26日

 突然だが、サッカー日本代表の負けパターンをご存じだろうか。現在のザッケローニ監督になってからはそうでもないが、それ以前の何人かの監督の時代には、テレビ中継の解説でも試合の形勢が悪くなる予兆としてこういう指摘がよくされていた。その指摘とは、「中盤の間延び」である。

 サッカーの専門家ではないので簡単に述べることにするが、近代のサッカーの基本的戦略は中盤をコンパクトに、ということらしい。これは、攻撃と防御の距離を縮めて相手の戦略に敏感に対応できるようにするためだと思われる。

 かつては、攻撃も防御も各ポジションに合った屈強な選手や身長の高い選手を揃えて個々の戦いに勝てるチームが強かったと記憶している。○○○の壁と呼ばれる選手がヒーローだったりしたものである。要は、自分の能力を強化することでチームが強くなるパターンである。

 ところが、近代サッカーではそれぞれのチームが多様な戦略で攻めてくる。自分の能力を鍛えるだけでは立ち行かず、相手に合わせた攻撃と防御の連動が必要なのだろう。

 情報セキュリティもこれと似ていると思う。セキュリティを犯す事象や攻撃してくる者は確実に多様化しており、しかもものすごいスピードで変化している。如何に頑強な仕組みを作って情報セキュリティを守ろうとしても、最新の技術や運用の脆弱性を突いて矢継ぎ早に攻め手を繰り出してくる相手には、正直なところ通用し難くなっている。

 確実な防御のためには、最前線で何が起こっているか。つまり企業や組織の活動がどんな情報を使っていて何を守らなければいけないのかを正確に把握し、防御の戦略を練らなければならないのである。最前線の状況に構わずに自分本位に完璧な防御の仕組みを作るには、保護対象の周りを要塞のように固める防御が必要だ。サッカーのように人数の制限はないのだから、論理的には守衛をゴールが見えないくらいに並べれば可能だとは言え、それは費用的に現実的でないに違いない。

 そこで、企業や組織活動の最前線で何が起こっているかについて情報セキュリティ担当は知らねばならないのだが、そういう連携がとれた役割になっている組織は案外少ないと思っている。最前線で保護対象資産の情報を常に最新化し、それをもとに情報セキュリティ戦略を更新している組織がいったいどれだけあるだろうか?

 例えば申告制にして、申告のあった資産だけを情報セキュリティ管理上の保護対象とするようなやり方がある。しかしそのやり方で、企業・組織活動の最前線で常に変化しているセキュリティレベルの高い情報資産が、必ず登場する保証はできるのだろうか?

 つまり、サッカーと一緒である。情報セキュリティの敗者となりたくなければ、企業・組織活動の最前線と情報セキュリティ担当部門は距離を縮めなければならない。そうしなければ、いつかは確実に負ける。これが近代的情報セキュリティの世界の宿命であると思うのである。

早乙女 真
​​MENU