情報セキュリティの「予防」と「治療」:山口英の10分間セキュリティ責任者強化塾(3)
情報セキュリティ対策には多様な手法があるが、これをすべて実現するのは不可能だ。セキュリティ対策を健康管理に例えることで、現実に効果的な対策ができているかを確認することができる。
情報セキュリティ対策にはいろいろな手法がある。解説書には、実に数多くの対策手法が紹介されており、技術的な手法から、組織管理学にまで言及されている。確かに、紹介されている手法を全部実行できれば理想的だろうが、実際には業務や組織の特性、予算の制限、システムの制限などで、一部分しか実行できないのが普通だ。こうした状況で、より効果的な対策を実施するにはどうしたらよいのだろうか。
病気を例に考えてみる
どのような情報セキュリティ対策を行えばよいのだろうかと考える時に、私は病気への対応方法を思い出すことが多い。
私たちが暮らして行く中で、どんなに注意をしていても病気になってしまうことがある。そして、人は普段から病気にならないためのことを大なり小なり考えているものだ。
例えば、あなたは太っていて、油っぽい料理が大好きで、しかも運動不足だとしよう。そんな状態であれば、定期検診の度に「病気になる恐れ大」という指摘をされていることだろう。さらに健康指南書を読めば、「あなたはコレステロール値が高くなっているかどうかに注意しなさい、もしも値が高くなってきたらドロドロ血になっていて、血管が詰まる恐れがありますよ」と書いてあるだろう。さらに、その対策として、「減量しましょう」「運動しましょう」「食生活に注意しましょう」ということが書かれているだろう。また、もうちょっとしっかりした本になると、もしも血管が詰まったらどうなるか、どういった治療が行われるかまで書かれている。
実は、上に書いた数行の中に、情報セキュリティで行わなければならないことがすべて凝縮されている。つまり、(1)現状はどうなっているかを知る(健康状態把握)、(2)何に注目して運用を継続しなければならないかを明確にする(指標注意)、(3)問題が発生しないように何をすべきかを考えて実行する(予防)、(4)問題が発生してしまったときには何をしなければならないのか把握して実行する(治療)という4要素である。
対策にはバランスも大切
情報セキュリティ対策では、この4要素をバランスよく、抜けがないように組み込んでいくことが大切だ。例えば、情報セキュリティ対策で、(1)と(4)だけを実行しようとする人がいる。しかし、問題が発生してからの対応しか考えていないとしたら、それは確実に損失覚悟のプランニングであり、許容できないことも多いだろう。あるいは、(2)を忘れていると、現時点でセキュリティ関係のトラブルが発生しているかどうかを認知することもできない。さらには、(1)なしでいきなり情報セキュリティ対策を実施したとしても、どのようなリスクに対応しようとしているかも分からず、やみくもに対応策を考えているにすぎない。
現時点で既に情報セキュリティ対策を実施しているのであれば、面倒かもしれないが、今一度、(1)から(4)として何をしているかを再確認するのが良いだろう。抜けはないだろうか。効果的な方法を採用しているだろうか。常々、全体を俯瞰(ふかん)する目で見直すことが望まれる。
プロの知恵を活用しよう
さらに病気への対応の例で考えれば、(1)、(2)が病気予防で一番大切な行為であり、たいていは健康診断で行われる。健康診断は、簡便だがプロの知恵(医学)の活用である。情報セキュリティ対策でも、この考え方は重要だ。自分の健康状態を理解するために、情報セキュリティ対策のプロの知恵を活用するのだ。これを単なる素人の思い込みで実行していることはないだろうか。
自分自身の健康状態を理解するには様々な方法がある。簡便な方法としては、各種チェックリストを活用する方法がある。このチェックリストも今や公的団体から多種多様なものが公表されている。また、それ以外にも、自分の状態を知るための情報も公開されている。例えば、独立行政法人情報処理推進機構(IPA)のWebサイトには、情報セキュリティ対策実践情報が紹介されている。最近では、このような公的団体が情報セキュリティに関わる「プロの知恵」を活用することもあるだろう。
また、本当に予算が許すならば、プロの知恵を直接入手することも良い考え方だ。特に、外部の方にシステムの運用状態を確認してもらうと、勉強になることがたくさんある。プロに確認してもらった後で、処方箋を書いてもらうのが良いだろう。
対策実施までにマインド形成を完了する
上のような理解があれば、実際に対策実施の段階になっても、「一体、自分はどんな病気になるといわれているのか」という視点で対策を見ることができるに違いない。そこまで自分のマインドが高まれば理想的である。そして、そうなれば合理的な判断をすることができるだろう。
このように「病気」というアナロジーを用いて、体感的に問題をとらえる努力も、情報セキュリティでは必要であると考えている。ぜひ一度、読者のみなさんも実践してみることをお奨めする。
著者紹介
▼著者名 山口 英(やまぐち すぐる)
奈良先端科学技術大学院大学情報科学研究科教授。大規模分散処理環境構築、ネットワークセキュリティなどの研究に従事。また、WIDE Projectのメンバーとして、広域コンピュータネットワークの構築・研究を行ってきた。セキュリティに関しては、現在JPCERTコーディネーションセンターの運営委員も務めている。また、内閣官房情報セキュリティセンターの情報セキュリティ補佐官として、日本の情報セキュリティ戦略と具体的な対策の立案に携わっている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ゼロトラストの最新トレンド5つをガートナーが発表
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
ITmediaはアイティメディア株式会社の登録商標です。