この記事を読むために必要な時間は約4分(1433文字)です。
そのセキュリティ対策は必要ですか? ~ セキュリティ対策が必要になるときについて ~
- 投稿日:2018-11-22
- 最終更新日:2020-01-14
- 表示:81PV
- カテゴリ:セキュリティ対策の考え方
確かに、セキュリティ対策のお話をすると、何についても「絶対必要!」と言う方もいらっしゃいます。
「本当にそうなのか?」というご質問なので、今回は、セキュリティ対策が必要な場合についての考え方をお話します。
目次
セキュリティ対策について
セキュリティ対策が必要な場合とは?
セキュリティ対策が必要な条件は、次のすべてを満たすときです。- 守るべきもの(=情報資産)が存在する
- それを脅かす存在(=脅威)がある
- その脅威が突いてくる弱い存在(=脆弱性)がある
守るべきもの(=情報資産)が存在する
セキュリティ対策は、基本的には守りの対策なので、「情報資産とは」でお話をしていますように、「組織にとって守るべき価値を持つ(=資産である)情報」が存在しなければなりません。逆に言うと、情報資産がないのであれば、セキュリティ対策の必要性は下がる、場合によっては不要と考えます。
例えば、倉庫に何もなければ、不審者が紛れ込むかもしれないので、鍵は掛けた方が良いですが、警報機などは設置しないでしょう。
これと同じ考えです。
鍵という最低限の対策はした方が良いですが、警報機のような費用のかかるセキュリティ対策はしないでしょう。
それを脅かす存在(=脅威)がある
基本的に、脅威はなくならないです。「攻撃をする人の目的」でお話をしたように、「知的好奇心」や「自己顕示欲」といった、金目のモノが無くても、攻撃してくる人はいます。
例えば、先ほどの倉庫の例のように、不審者が紛れ込むような場合です。
中になものなくても、入ってきます。
このため、脅威はなくならないと考えます。
その脅威が突いてくる弱い存在(=脆弱性)がある
全てではありませんが、脆弱性に対応するのが、セキュリティ対策といってもよいくらいです。脆弱性を「なくす」か「強化する」かがセキュリティ対策の基本的な対応です。
人が考えるシステムですから、どのようなシステムであっても、全く脆弱性がないということはないと考えます。
「危殆化(きたいか)」といって、ある時点では脆弱性がなくても、時間の経過とともに脆弱性が発生する場合もあります。
「危殆化(きたいか)」の例としては、計算機(CPU)の高性能化です。
計算機(CPU)の高速化により、暗号の解析にかかる時間が短縮されます。
短縮された時間の長さによっては、すぐに解読されて、暗号化した意味がなくなることもあります。
このような場合、セキュリティ対策を実施してあっても、実質的には脆弱性になっていることもあります。
いつまでも脆弱性がない状態を維持できるわけではないのです。
このため、この脆弱性についても、なくならないと考えた方が良いです。
まとめ
3つの条件があるため、全ての場合にセキュリティ対策が必要とまでは言いません。2つの条件は常にあると考えると、残りは情報資産の有無だけとなります。
ビジネスの現場では、多くの場合、情報資産があるので、セキュリティ対策が必要となることが多いということです。
このため、情報資産がないような場所にまで、費用のかかるセキュリティ対策が必要というのは言い過ぎかもしれないと考えています。
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|
 | |
