人間を性善説で見るか性悪説で見るか、という観点は時代遅れ。リアルな世界でもITの世界でも、セキュリティインシデントは確実に存在するし、悪意がなくとも「ついうっかり」や「デキゴコロで」ということだってあるのだ。
リアルな世界のドロボウやゴウトウは、実に分かりやすい。だって盗まれたものは目の前から姿を消すわけだし、壊されたものは確実にその姿を変えるから。しかしITサービスの世界では、ほとんどの場合そうではない。情報が盗まれてもその情報が目の前から姿を消すわけではないし、情報が改ざんされても気付かない可能性だってある。ITサービスの世界は、セキュリティインシデントが目に見えない形で実現していることがあるから怖いのだ。
さらにその怖さを増大させているのは、多くの経営者やIT運用担当者が「セキュリティ対策は必要だ」ということを認識しておきながらマトモな対策を取っていないことだ。事実、セキュリティインシデント――最も分かりやすいのは情報漏えいだろう――がメディアに取り上げられない月はないと言っても過言ではない。ゴールデンウィーク直前にはこのような記事が掲載されたが、果たしてあなたの会社は何のセキュリティインシデントも起きなかったであろうか。
情報セキュリティインシデントは必ず起きるものなのだ、という認識を持つことこそが、情報セキュリティ対策の第一歩である。同時に言葉を定義しておかないと、対策だってできるわけがない。
情報セキュリティインシデントとは、情報システムに対するセキュリティに関する負の出来事(インシデント)のうち、人為的かつ意図的・偶発的に発生したものを指す。分かりやすいのはウイルスの感染や外部からの攻撃、社外に持ち出したPCやUSBメモリなどを紛失したり盗難にあったりして情報を漏洩させる、というようなことだが、情報セキュリティインシデントの可能性はそれだけにとどまらない。
上記で示したもの以外で、筆者が思い付くままに例を挙げてみよう。
ここで重要なことがある。情報セキュリティというと、社内、または社外に悪だくみを考えている人がいて、その人が直接または間接的に情報資産に悪影響を与えることだと思いがちであるが、実際にはそれだけではない。「セキュア」とはすなわち「安全」という意味である。「情報セキュリティ」とはすなわち、情報資産を安全に使えることを意味する。いかなる事態であっても、情報資産が安全に使えない可能性が発生するのなら、それは「情報セキュリティインシデント」である。地震や火事といった天災で情報資産が使えなくなったとしても、それらの天災が発生することを事前に予見できたにもかかわらず対策をとっていなかったというのであれば、それは人為的に発生したものだと言える。
では、守るべき「情報資産」とは、どのようなものか。単純に考えれば「情報」すなわちデータと、そのデータを扱うためのITシステム、ということになる。データを守るということとITシステムを守るということは区別して考えなければならないが、両者に密接な関係があることは言うまでもない。
Copyright © ITmedia, Inc. All Rights Reserved.