「情報セキュリティ」に関する誤解

15 Jul 2013 コンピュータと暮らす

security

以前からなんとなく「情報セキュリティ」ということについて誤解があるように思っていたので、「情報セキュリティ」ということについて少し書いてみたいと思います。

「セキュリティ」とか「情報セキュリティ」というと「機密を守ること」と思われがちですが、「機密を守ること」がセキュリティではありません、ここが誤解されているポイントです。

セキュリティとは?

まず、「セキュリティ」ということの意味をもう一度見直す必要があるかなと思っています。「セキュリティ」とは日本語で言うと「保護」とか「保安」という意味で、「リスクや脅威から保護する」ことであると言えます。

ここで保護すべき対象が「機密」であるというところが誤解のポイントで、保護されるべきは「継続的な事業活動」なのです。

もちろん「継続的な事業活動」に対する「リスク」の一つとして「機密漏洩」はあります。もし会社が「機密漏洩」をやってしまえば内容によっては事業を継続出来なくなります、ですので「機密情報」は「情報セキュリティ」で保護されるべき対象となります。

では、何がなんでも機密を漏洩させないようにするため、全ての機密情報を金庫に入れ金庫の鍵と番号を社長一人が管理するようにしたらどうでしょう？社長が責任を負う限り社員が間違って漏洩させてしまうことはなくなりますので高いレベルで「機密保護」出来ますね、完璧です！

しかし、ある日ある企業との契約をするのに金庫の中のデータや書類が必要、指定の日までに契約が成立しなければ他の会社に取られてしまう、みたいなことがあればどうでしょう？

そしてタイミングの悪いことに社長は海外出張中、出張先で大規模なデモがあって飛行機が飛ばず契約期限の日までに戻ってこられない。金庫の鍵は社長が持ったままなので社長が戻らなければ契約を進めることが出来ない…

結局社長は間に合わず契約は他社に取られる、それをきっかけに他の契約も他社に取られて業績は下がり会社は赤字転落…

極端な話ですが「機密保護」だけに注目してしまうと起こりえる話なのです。

情報セキュリティにおいては、認められた者だけが情報にアクセスできているか(機密性)、情報が常に正しい状態であるよう維持されているか(完全性)、必要な情報に必要な時にアクセスできる状態になっているか(可用性)の3つがバランス良く保たれていなければならないのです。

先の例で言うと「機密の保護(機密性)」は頑張ってるけど、「必要な時にアクセスできる(可用性)」が損なわれていたわけです。「可用性」が要因となって事業の存続が出来なくなることもあるわけということですね。

「機密性」ばかりが注目される理由として、現象として分かりやすいということと、「情報漏洩」に関するインシデントは報道メディアでも取り上げられやすいということがあるのではないかなと思っています。

報道されていることが全てではありません、正しい知識と見識で正しい情報セキュリティ対策を実践しましょう！