たった2つの質問で判る、ITセキュリティ基礎知識の有無

(Last Updated On: 2017/09/16)

ITセキュリティは国際標準化(ISO27000)もされ、ISMS認証取得済みの組織も5000程もあり広く認知されている概念のハズですがそうでもありません。簡単にセキュリティ基礎知識を持っているか、いないか、判別でれば、エンジニアの採用や既存スタッフの知識レベルの確認などに役立つと思います。

以下はITセキュリティの基礎知識を持っているか、いないか?簡単に判別できる質問です。一言で答えてください。

  1. ITセキュリティ対策の目的とは?
  2. ITセキュリティ対策の定義とは?

(解説を見るにはスクロールしてください)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

解説:ITセキュリティ対策の目的とは?

模範的な解答は

  • ITシステムを許容可能なリスクに抑えて利用すること

です。NGの解答例は

  • 脆弱性を修正/排除すること
  • 攻撃者からシステムを守ること
  • 攻撃できないようにすること

などです。

「脆弱性を修正/排除すること」や「攻撃者からシステムを守ること」はITセキュリティを実現する為の手段の1つであり、手段は目的になりません。「保険を利用すること」もITセキュリティ対策の手段の1つであったり、「スタッフの教育を行うこと」や「リスクを許容すること」もITセキュリティ対策の手段として含まれることから明らかです。サブセットをフルセットと取り違える(部分を全体と勘違いする)のは明白な誤りであり、手段を目的化するのは間違いの元です。

ITセキュリティ対策の目的は「ITシステムを許容可能なリスクに抑えて利用する」ことにあり、それを実現するために必要なマネジメントを行います。これがセキュリティ対策です。

参考:

 

解説:ITセキュリティ対策の定義とは?

模範的な解答は

  • 全てのITシステム利用リスクの変化に対応する対策を管理すること

です。NGの解答例は

  • 脆弱性を排除することを目的とした対策
  • リスクを低下させる対策

などです。

セキュリティ対策かどうか?の区別に主観に基く「目的」は関係ありません。脆弱性を排除、リスクを低下させるモノだけがセキュリティ対策ではありません。ITセキュリティ対策の目的は「ITシステムを許容可能なリスクに抑えて利用する」です。ITシステムを利用する為にリスクを許容することもセキュリティ対策として管理します。

ISO27000では「セキュリティ対策」という用語は直接定義していませんが、一般にセキュリティ対策と呼ばれる言葉の意味で「リスク対応」を定義しています。この定義を一言で言うと「リスクを変化させる対策すべて」になります。リスクの変化には増加も削減も含まれます。リスクの変化は客観的に評価でき、目的のように主観で変ることもありません。セキュリティ対策であるものは常にセキュリティ対策であり、その優劣は費用対効果で決まります。

参考:

 

まとめ

ITセキュリティの「目的」や「用語の定義」が異なっているようではマトモなセキュリティ対策を期待できません。自身の組織や顧客がISMS認証を取得している場合、これらは基礎の中の基礎ですが、正しく認識されているか確認してみると良いでしょう。意外に正しく理解されていないケースが多いと思います。「これはセキュリティ対策である/ない」「セキュリティ対策とは何が何だか解らない」などとなるのは、この2つの定義が理解/共有されていないことに原因であるようです。

ITセキュリティ”専門家”の中には国際標準の概念を無視し、主観に基く狭い目的/定義を利用している方も居るので注意が必要です。知る限りでは、非科学的で根本的な部分から問題な物ばかり、標準より優れた概念と言える物は聞いたことがありません。ですが、それでも問題ないと感じる方も多いようです。

根本から間違っていると、プログラミング原則セキュアプログラミング概念を真っ向否定したり、最も重要な対策は「セキュリティ対策ではない」と勘違いしてしまいます。それが開発者であったりするので問題は大きいです。

 

参考

 

Comments

comments

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です