ITマインド徒然草、徒然なるままにITのよしなし事を(第4段):情報セキュリティが本当に必要な理由
ITを利用する上では、どうして情報セキュリティが必要なのでしょうか。
セキュリティと聞くと、まずは外部の脅威、例えば外部からの悪意のある攻撃などからシステムを守ることを真っ先に頭に思い浮かべると思いますが、セキュリティが本当に必要な理由はそれだけでしょうか。
情報セキュリティの特性、目指すべき原則として、機密性・完全性・可用性の3つが一般的に挙げられます。その中ではおそらく機密性が一般的にはよく注目され、ある情報資産に関連のない人はアクセスできないようにすることなどが、セキュリティの役割として重要視されています。
しかし、裏を返せば必要な情報資産に必要な人がアクセスできるようにすることも重要なはずです。それが、可用性という原則になります。これは、例えばビジネスでITを利用する場合は、そのビジネスの製品・サービスを顧客に提供し続けるために、ITシステムの可用性を確保し続けなければならないことも含みます。
すなわち、脅威からシステムを守るだけではなくて、万一システムで何らかの問題が発生した場合でも、可能な限りシステムを継続して稼働させることや、稼働できない場合はどう対処するかということを事前に考えておくことも同時に大切であるといえます。なお、ここでいう脅威とは、外部からの悪意のある攻撃だけではなく、内部での悪意はないが誤ったシステム操作や運用等、また不可抗力的なシステムの障害、はたまた自然災害や何らかの人為的な事故も含みます。
これらの脅威は、発生する頻度はまちまちではありますが、どのシステムに対しても発生する可能性があります。そして、一旦そのような脅威が発生してシステムが影響を受けた場合は、影響の度合いによってはシステムを回復できない、または回復するのに相当の時間を要し、システム再開が著しく遅れるといったことさえありえます。
また、システムに何らかの脆弱性、すなわち脅威が容易に利用できる弱点などがあった場合、この脆弱性に対していち早く対応をしなければなりませんが、これもセキュリティの重要な役割の一つです。
以前あるセキュリティ担当者がある記事で、次のように述べていたのが印象的でとても共感をしたことがあります。
「セキュリティの仕事でいちばん重要なのは、ビジネスをいかに早く立ち上げるかをサポートすることで、セキュリティの問題があるからと言って、ビジネスを立ち上げる妨害をしてはならない。もし何かセキュリティ上の問題があるのであれば、それをいかに早く解決して、ビジネスを妨害するのではなく、推進するのがセキュリティ担当者の使命だ。」
これが、本当に情報セキュリティが必要な理由だと思いますし、セキュリティ担当者としてはこのようなマインドを持つべきであると確信をしています。
