セキュリティの考え方

セキュリティって重要？

このところ個人情報の漏洩が様々な業界で湧き出てきてますね。
IT技術の進歩によりインターネットが急激に普及してきました。このIT技術の進歩により生活の利便性の向上という、非常に大きな利点がある反面、ウイルスやデータの改ざん、ネットワーク詐欺、個人情報の漏洩といったネットワークを利用した犯罪が多くなってきているのも事実です。

この原因はやはりIT技術の爆発的な普及に、情報セキュリティ対策の重要性という認識がついていけていないのが原因なのではないでしょうか？
会社内のセキュリティを例にとってみますと、社内のネットワークに流れるデータには当然社外に漏れてはいけないような機密情報が溢れています。この様な機密情報というものは得てして社外の人にとっては、非常に有益であり“お金のなる木”だったりするわけです。
そのため不謹慎な一部の社員や社外の悪意のある人間にとっては格好の標的になる場合があります。こういった悪意のある人から機密情報を守り、安全にネットワークを運用するためには“セキュリティ”の確保というものが非常に重要になってくるわけです。

ところでセキュリティって？

情報セキュリティマネジメントの国際規格である BS7799によると、セキュリティを維持するためには以下の３項目が重要なコンセプトとなっています。

機密性：許可されている人だけが情報にアクセスでき、情報が外部に漏洩しないこと
完全性：情報が改ざんされたりせず、整合性が取れて完全な状態であること
可用性：システムが安定運用されており、必要な時に情報にアクセス出来ること

この３つの要素を常に意識しながらセキュリティ対策を行っていくことで守らなければいけない情報をしっかりと守っていくことができるわけです。

リスクと利便性のトレードオフ

“どの”情報を“どこまで”守るか、あるいはセキュリティを向上させるために発生する“費用は？”といった事柄を考慮してセキュリティポリシーを決定するという作業が非常にやっかいだったりします。
例えば、セキュリティを強固にするために重要なデータはネットワークから切り離されたコンピュータに保存し、そのデータにアクセスするためには実際にそのコンピュータを操作しないとアクセス出来ないようにしたとします。
こうすることで外部からの脅威にさらされることがなくなるので、非常に強固なセキュリティになります。しかしその反面、利便性という意味では恐ろしく使いづらくなってしまいますね。
また、セキュリティを高めるために非常に高価な設備を導入した。しかし事前に費用対効果を考慮していなかったため、その設備で守るべき情報の価値を算出してみると、設備費用の方が高かったことが後から発覚した。
つまり、必要なセキュリティを確保しつつ、それでいて利便性と費用対効果も考慮したセキュリティポリシーというものを作成することが非常に重要になるわけです。