何度か同じテーマで書いているのですが改めて簡単にまとめます。
適切な「目的」でなかったり、間違った「目的」を設定してしまうと目的を達成が困難になります。目的の設定/定義は重要です。
セキュリティ対策 ≒ リスク対策
セキュリティ対策 ≒ リスク対策 ですが目的が、微妙に異なる目的にした方が効率的に不確実性に対応できます。
情報システムを許容可能な範囲のリスクに抑えて利用する
ISOの定義に従いセキュリティ対策の目的をまとめると
- 情報システムを許容可能な範囲のリスクに抑えて利用する
となります。情報システムを利用するには必ず何らかのリスクを許容(受容)する必要があります。「全てのリスクを排除する」またはそれに近い状態を目的にすると無理が生じます。
情報システムが正しく動作する(利用できる)ことを確実にする
リスク対策の目的をまとめると
- 情報システムが正しく動作する(利用できる)ことを確実にする
となります。違いができる原因はリスク分析にあります。リスク対策には「全てのリスクを正確に識別」しなければなりません。その為には確実にリスクを識別できる目標を設定する必要があります。ホワイトリスト型の「確実にする」ことを目的にすることにより「確実にならない」状態を識別しやすくなります。
まとめ
セキュリティ対策の目的とリスク対策の目的を同一にしても構わない、とも言えます。しかし、「リスクを許容する」をリスク対策の目的に取り入れるとリスク分析に誤りを入り込む余地を残しやすくなるだけでなく、残存リスクを見逃しやすくなります。
識別していない残存リスクは非常に危険です。これが原因で間違えた例は、暗号や認証プロトコル設計を含めて多くあります。残存リスクを見逃しやすくなる目的を設定すると、不確実性を増すことになります。これでは不確実性を可能な限り無くして確実にすることを目的とするリスク分析の目的に反することになります。