簡単基礎的な事ですが、ITセキュリティの目的がどのように決るのか?理解しておくことが重要だと思うのでブログにします。
ITセキュリティの目的は論理的に決る
通常「目的」は主観で決まりますが、ITセキュリティの目的は論理的に決まります。
何らかの目的の為にITシステムを利用したい
↓
ITシステムの利用で許容できないリスクが発生する
↓
目的を達成する為にITシステムのリスクを許容範囲内に抑えて利用する
(ITセキュリティの目的)
このような論理があるので脆弱性対策(リスクの緩和/削減/廃除)はリスクを許容範囲内に抑える手段の1つに過ぎず、脆弱性対策は目的にはならないです。ITシステムの利用にはリスクが発生します。脆弱性対策だけでなく、リスクを許容し管理する必要があります。
目的と手段を取り違えることは誤りであり、気付きづらいこともあるので注意が必要です。
参考:
ITシステムの導入は目的ではない
当たり前ですが「ITシステムの導入」は目的ではありません。ITシステムは何らかの主観に基く「目的」、例えばコスト削減や利便性向上など、を達成するために導入されます。
ITシステムのリスクはITシステムの導入と共に自動的に発生します。許容範囲内にリスクを抑える必要性も自動的に発生します。この為、ITセキュリティの目的は主観とは無関係かつ論理的に定まります。
まとめ
「目的」から間違っていると、効率的なITセキュリティ管理は見込めません。「手段」を「目的」としてもそれなりの効果がある場合もありますが、「目的を捉えた管理/対策」に比べると非効率で遠回りです。
たった2つの質問で判る、ITセキュリティ基礎知識の有無の補足用に書きました。
「ITシステムのリスクを許容範囲内に抑えて利用する」を達成するにはリスク分析が欠かせません。リスク分析と対応を考慮していない、十分に考慮していないことが原因で致命的なセキュリティ問題を作った事例は数えきれない程あります。