セキュリティ対策ってそもそもどう考えるのか

セキュリティ

セキュリティ対策を行うにあたって難しいと感じられている事は何でしょうか。
色々なご意見を伺っていて多いのが、何が問題で何をやればよいのか良くわからない、という事です。

そこで、判断をするにあたっての考え方の例を挙げたいと思います。

そもそもセキュリティ対策って何か

オフィスやシステムで保持している情報には、会社として「情報資産」として定義されているものがあります。
これらは事業、またサービス提供にあたっての重要情報ですので、これを守る事がセキュリティ対策の目的となります。

情報資産にはいろいろなものがあります。
人事情報、財務情報、個人情報 .etc

上記例の中でもさらに細かく分かれます。有名どころでいうと、

個人情報

個人名、住所、メールアドレス .etc
それだけで個人を特定できるもの、組み合わせて特定できるもの などなど

が分かりやすい、イメージしやすいのではないかと。

これら情報資産を守らなければいけません。

守るとは

守るべき情報は、管理や運用の仕方によってさまざまな形態になっています。
紙、電子データ、誰かの頭の中などなど。
それぞれ、データの持ち方や使われ方によって、考えないといけない事が変わってきます。

例えば紙の場合
印刷された情報がオフィスの机の上に置きっぱなし

朝オフィスを掃除する人に見られた!
社員だけ知りえる情報を、業務委託さんに見られた!

この例の場合

紙がオフィスに置きっぱなし ⇒ リスク
本来見られたくない人に見られる ⇒ リスクが顕在化

となります。

世間一般的に「リスクが顕在化」した事が、セキュリティインシデント(セキュリティ事故)と言われます。

上記例で、リスクが顕在化しない事もあります。

印刷された情報がオフィスの机の上に置きっぱなしだったとして…

そもそも執務室に入出できるのが、社員証で入室した社員だけ

これだと、リスクが存在していたとしても、情報漏えいという顕在化はしないわけです。

ただ、この場合別のリスクが存在します。
社員証を社員以外が入手して使えてしまったら…?
社員にぴったりついて第三者が部屋に入室したら…?

この場合、入室管理をしているものの管理の仕方によっては「抜け道」が出来てしまいます。
皆さんで聞いた事がある言葉で言うと、「脆弱性」なのです。

結局のところ?

扱う対象情報、その重み(重要度)、情報の取り扱い方、漏れた際の被害、などなど、
立ち位置によっていろいろ変わってきます。
が、全てが全て守らなければいけない重みは横並びでしょうか。

どんな情報を自分たちが扱っていて
その情報にはどんなリスクがあって
そのリスクが顕在化しやすそうなところはどこか

顕在化しづらそうな状態であれば、認識だけしておいて対策は後回しで良いのです

この観点で考えてみてはいかがでしょうか。

守り方はいろいろありますよ。

この記事を書いた人

野村昌男
野村昌男

ネットワークとセキュリティメインでやっています。
L4/L3以下が好きです。