セキュリティ対策の目的と手段 〜 根本的誤りの元 〜

(Last Updated On: 2018年8月4日)

目的と手段、これを取り違えて大きな誤りを犯してしまうことはよくあります。これはセキュリティ対策に限ったことではありません。

対策をセキュリティ対策の目的と手段を取り違えると、根本的な誤りを犯してしまいます。

備考:目的と手段の取り違えが根本的な原因と言えますが、「セキュリティ対策」定義を取り違えているとこのブログの内容は理解しずらいかも知れません。セキュリティ対策に「緩和策」や「リスク増加」が含まれることを認識されていない方はまずセキュリティ対策の定義を確認ください。

参考:「個々の脆弱性対策だけやれば良い」とする議論に組みしない理由

 

目的と手段

ITプロジェクトが大きく失敗する原因に”目的”と”手段”の取り違えがあります。

ITプロジェクトの”目的”

  • 新しい価値を生み出すこと(新しいサービス、業務の効率化、など)

ITプロジェクトの”手段”

  • “目的”を達成する為に、ハードウェア/ソフトウェアを導入/構築する

“目的”が主であり、”手段”は従です。これはどのようなモノでも同じです。”手段が目的化”すると、必ずと言ってよいほど成功しません。本来の目的に近いモノを達成できたとしても、”手段が目的化”せずにプロジェクトを遂行した場合に比べ劣った結果になります。

これは”手段だけの最適化は部分最適化”に過ぎず、”手段の最適化だけでは全体最適化が行えない”ので”目的”が効率的に達成できなくなることが原因です。”目的”と”手段”を取り違えない。これはどのようなプロジェクトにも共通する重要な注意点です。

ITプロジェクトでも”手段が目的化”してしまい、失敗した、期待した効果を得られなかった、という事例は枚挙にいとまがありません。

どこかの市で教育のIT化を目的として、教科書にタブレットを導入しました。しかし、ライセンスの関係で教科書コンテンツが1年限りでしか参照できず、失敗した事例があります。これは”手段が目的化”し、”本来の目的”を見失ったために失敗した事例といえるでしょう。

 

セキュリティ対策の”目的”

このブログでは主にWebアプリのセキュリティ対策をテーマに書き、プログラミングにおける脆弱性とその対策の解説が多いです。しかし、プログラミングのセキュリティ対策はITセキュリティ対策の一部に過ぎず、脆弱性対策はITシステムの安全性を維持する為の”手段”の一部に過ぎません。

ITセキュリティ対策の目的は「ITシステムを利用する上で必ず発生するリスクを許容可能な範囲内に軽減」することが”目的”です。

目的を達成するためには、ITシステムが持つリスクの特徴を知る必要があります。ITシステムを利用する上で発生するリスクを完全に排除することはできません。完全に排除するには「ITシステムを利用しない」という選択をするしかありません。しかし、これではITシステムを導入する目的も達成できません。

目的を達成するためにITシステムが不可欠である場合、「ITシステムを利用しない」という選択はできません。この為、特定のリスクを排除するセキュリティ対策であっても、全体としては全てのITセキュリティ対策が本質的に「緩和策」です。

 

セキュリティ対策の”手段”

目的を明確にした次にすべきは、目的達成のためにどのような手段を採用するか、を決めます。

ITセキュリティ対策の目的は「ITシステムを利用する上で必ず発生するリスクを許容可能な範囲内に軽減」することにあるで、ざっくり言うと

  • リスクを明確にし対応策を策定する(Plan)
  • リスクに対応する(Do)
    • リスク対策を選択し対応する
    • 許容するリスクを選択し許容する
  • リスク対応の評価を行う(Check)
  • 評価で明らかになった問題点の改善を行う(Action)

これらを実施する事になります。これはいわゆるPlan, Do, Check, ActionのPDCAサイクルのマネジメントです。

ITセキュリティ対策に限らず、セキュリティ対策は広範囲の領域に対して対策が必要になります。このため、ISO 27000やCMMIは広範囲な領域に対してマネジメントすべき項目や目標を定めています。PDCAマネジメント全体が”手段”と言えますが、更に小さな「リスク対策を選択し対応する」が理解り易いセキュリティ対策の”手段”として認識されている場合が多いと思います。

 

”目的”と”手段”の取り違え

“リスクに対する対策”つまり”手段”はとても重要です。”手段”を間違えると”目的”の達成が不可能になるか、とても困難になります。”手段”は重要ですが、それは”目的”を達成する為のツールとして重要である、という点に常に注意が必要です。

セキュリティ対策において”目的”と”手段”の取り違えが発生しているケースが非常に多いのでは?と感じています。

  • セキュリティ対策(の目的)とは個々の脆弱性にできる限り完璧に近い対応することである

といった議論を耳にすることがあります。これはセキュリティ対策の目的、

  • ITシステムを利用する上で必ず発生するリスクを許容可能な範囲内に軽減すること

を見失った議論です。先程あげたセキュリティ対策の手段であるPDCAマネジメントサイクル

  • リスクを明確にし対応策を策定する(Plan)
  • リスクに対応する(Do)
    • リスク対策を選択し対応する
    • 許容するリスクを選択し許容する
  • リスク対応の評価を行う(Check)
  • 評価で明らかになった問題点の改善を行う(Action)

の更に一部、「リスク対策を選択し対応する」が”目的化”してしまっている議論です。目的を見失っていることは明らかです。

小さな目標(個々のリスクに対応する)を目的化してプロジェクトを進めて構わない場合もあります。しかし、それは“本来の目的”を忘れたり、なおざりにしたりしていない場合のみです。

 

まとめ

ITセキュリティ対策を論理的に考えると、その目的は

  • 「ITシステムを利用する上で必ず発生するリスクを許容可能な範囲内に軽減」すること

になります。

「リスク対策を選択し対応する」は手段であり、目的ではありません。

これを間違えると「セキュリティ対策」の定義自体がおかしくなったり、「セキュリティ対策」で重要な他の領域や対策を「セキュリティ対策ではない」「セキュリティ対策としてどうでもよい」といった根本的に誤った認識の原因になってしまいます。

手段の目的化には注意しましょう!

“目的”を設定する場合、”普遍的な目的”を設定しないと、人によって”目的”や定義がバラバラになってしまいます。目的の設定を間違えると修正が困難です。

目的を設定する場合、誰が見ても同意でき、別の意味にとらえられない普遍的な目的を設定しましょう!

目的と手段の取り違えは、自分が取り違えている場合、他人が取り違えている場合、両方とも気づくことが困難です。「手段が目的化していないか?」「目的は普遍的な目的か?」「局所最適化ではなく、全体最適化をしているか?」を常に自問自答する必要があります。

最後に、手段を間違えてもセキュリティ対策に失敗します。目的と手段、どちらかが大切というモノではなく、両方とも同じように重要です。車の両輪と同じです。

 

投稿者: yohgaki