ITセキュリティの目的

(更新日: 2016/03/22)

簡単基礎的な事ですが、ITセキュリティの目的がどのように決るのか?理解しておくことが重要だと思うのでブログにします。

ITセキュリティの目的は論理的に決る

通常「目的」は主観で決まりますが、ITセキュリティの目的は論理的に決まります。

何らかの目的の為にITシステムを利用したい

ITシステムの利用で許容できないリスクが発生する

目的を達成する為にITシステムのリスクを許容範囲内に抑えて利用する
(ITセキュリティの目的)

このような論理があるので脆弱性対策(リスクの緩和/削減/廃除)はリスクを許容範囲内に抑える手段の1つに過ぎず、脆弱性対策は目的にはならないです。ITシステムの利用にはリスクが発生します。脆弱性対策だけでなく、リスクを許容し管理する必要があります。

目的と手段を取り違えることは誤りであり、気付きづらいこともあるので注意が必要です。

参考:

 

ITシステムの導入は目的ではない

当たり前ですが「ITシステムの導入」は目的ではありません。ITシステムは何らかの主観に基く「目的」、例えばコスト削減や利便性向上など、を達成するために導入されます。

ITシステムのリスクはITシステムの導入と共に自動的に発生します。許容範囲内にリスクを抑える必要性も自動的に発生します。この為、ITセキュリティの目的は主観とは無関係かつ論理的に定まります。

 

まとめ

「目的」から間違っていると、効率的なITセキュリティ管理は見込めません。「手段」を「目的」としてもそれなりの効果がある場合もありますが、「目的を捉えた管理/対策」に比べると非効率で遠回りです。

たった2つの質問で判る、ITセキュリティ基礎知識の有無の補足用に書きました。

 

Comments

comments

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です