100%のセキュリティなど幻想にすぎないColumn

セキュリティに関してCIOがまず最初に理解すべきは、完璧なセキュリティポリシーやシステムなどないということだ。

2006年08月01日 10時29分 公開
[Kate Evans-Correi,TechTarget]

 「完璧なティーンエージャーの子供を持つ両親」と「完璧にセキュアなデータセンターを持つCIO」とに共通しているのは何だろう? どちらも妄想である、という点だ。

 「100%セキュアな会社などない」とボストンの応用ネットワークセキュリティ研究所の業務執行社員ジャック・フィリップス氏は語っている。同氏は先ごろカリフォルニア州カールズバッドで開催されたCIO Decisions Conference 2006で、約200人のIT幹部を前に講演を行った。「リスクをすべて排除することなどできない」と同氏は語っている。

 現実を受け入れられない両親と同様、CIOも真夜中に緊急の連絡を受けるなどして、身をもって学んでいくしかない。

 「人々は少し過信している。実際に何かが起きるまで、彼らは自分たちはセキュアだと考えている。セキュリティの幻想だ」とフィリップス氏。

 セキュリティに関して言えば、CIOがまず最初に理解すべきは、完璧なセキュリティポリシーやシステムなどないということだ。それでも、自社のシステムが「十分にセキュア」であることを確認し、安心して眠りにつくことはできる、とフィリップス氏。

「十分にセキュア」とはどのくらい?

 リスクを完全に排除することはできないが、脆弱性を減らすことはできる。次のように考えるといい。家のドアには普通、鍵をかける。それで、かなりのセキュリティは確保できる。さらにドアに幾つか安全錠を追加したり、鍵付きの網戸を追加してもいいだろう。そうすれば、家のセキュリティは確実に強化される。もっとも、通常はシンプルな鍵だけでも「十分にセキュア」だ。

 ただし、セキュリティが十分かどうかを自問する際には、「十分」というのは相対的な言葉であり、さまざまな状況に応じて常に変化するものであることを理解しておく必要がある、とフィリップス氏は指摘している。ある組織にとっては十分でも、ほかの組織にとって十分とは限らない。

 十分なセキュリティを確保するための鍵は、徹底的なリスク査定を実行することだ。このプロセスは、企業のサイズ、垂直市場、システムに含まれるデータの種類によっても違ってくる、とフィリップス氏。

 ラシエラ大学のCIO、サム・ヤング氏によれば、同氏にとって最も重要な資産は同校の評判だという。同校の評判は、個人情報をきちんと管理できるかどうかにかかっている。大学のようにコンピュータに精通したユーザーの多い環境において、それは容易なことではない。「ハッカーのような青少年を育成しながら、一方では当校のサーバをハッキングから守る、というのは非常に難しいことだ」とヤング氏は語り、大学教育の現場において多くのIT幹部が感じている思いを訴えている。

 セキュリティ侵害を防止するために8~10層ものセキュリティレイヤーが施されている場合まであるにもかかわらず、学生はセキュアなシステムを回避するための新しい方法を常に探している、とヤング氏。技術変化のスピードを考えれば、100%のセキュリティなど決して実現できない、というのがヤング氏の意見だという。

 「脆弱性は常に存在している。Microsoftの製品をアップグレードすれば、何かしら起きる。パスワードにしてもそうだ。パスワードを付せん紙に書いてPCに張り付けている人も多い。自分の秘書にパスワードを教えている副社長もいる」とヤング氏。

 「十分にセキュア」であれば、とりあえずはOKだということを認めるのが、まず最初のステップだ。その後のステップとして、フィリップス氏は以下のようなリスクベースのアプローチを推奨している。

  • 新しくスタートする。自社の状況を見直し、「何を保護すべきか」「なぜ保護すべきか」について、皆を同じ理解に立たせる。ビジネスにとっての重要度を定義する。
  • 重要な資産を評価し、整理する。「自社の成功にとって決定的な要因は何か?」「成功に必要となる重要な資産は何か?」を整理する。
  • 脆弱性を見積もる。外部からの脅威と内部の脅威について検討し、損失の可能性を見積もる。
  • 各資産のセキュリティを確保するための最善の方法を判断する。
  • 資産価値に基づき、必要なリソース量を判断する。

 「まずはリスクプロファイルを作成することだ。どのような選択をしようと、基本的にはさいころを振るのと同じだ。完璧なソリューションなどない。“ある程度のリスクは引き受けなければならない”と納得するしかない」とフィリップス氏は語っている。

関連ホワイトペーパー

パスワード | 脆弱性 | セキュリティポリシー


Copyright © ITmedia, Inc. All Rights Reserved.

鬯ョ�ォ�ス�エ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー鬯ッ�ィ�ス�セ�ス�ス�ス�ケ�ス�ス邵コ�、�つ€鬯ゥ蟷「�ス�「髫エ蜿門セ暦ソス�ス�ス�ク髯キ�エ�ス�・�ス�ス�ス�。鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�、鬯ゥ蟷「�ス�「髫エ荳サ�ス隶捺サゑスソ�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�シ鬯ゥ蟷「�ス�「髫エ荵暦ソス�ス�ス�ス�サ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス

市場調査・トレンド ラピッドセブン・ジャパン株式会社

「検知と対応に関する調査」から見えてきた、各組織のサイバー脅威への取り組み

脅威の検知と迅速な対応は、セキュリティ戦略の中核をなす重要な機能だ。これを実現するために、多くの組織が自動化ツールやAIなどの技術を採用しているが、成果を挙げている組織もあれば、そうでない組織もあり、明暗が分かれている。

市場調査・トレンド ラピッドセブン・ジャパン株式会社

セキュリティ製品の乱立を解消し、ベンダーを統合すべき理由とは?

近年、多くの組織が多数のセキュリティ製品をパッチワーク的に導入している。その結果、運用が複雑化し、非効率な状況が生まれてしまった。このような状況を改善するためには、セキュリティベンダーを統合することが必要だ。

製品資料 フォーティネットジャパン合同会社

費用対効果の高いセキュリティ製品をどう見極める? 5つの組織の例に学ぶ

データセンターにおいて、NGFWやマルウェア対策といったセキュリティ製品の導入は不可欠だが、選定を誤ると非効率な運用プロセスや高いコストに悩まされることとなる。5つの組織の例から、費用対効果の高い製品を見極めるコツを探る。

製品レビュー サイオステクノロジー株式会社

マンガで分かる:クラウドシステムの障害対策でユーザーが考慮すべきポイント

ダウンタイムが許されない基幹系システムやデータベースをクラウドに展開している場合、システムの障害対策をベンダー任せにすることは危険だ。本資料では、その理由を解説するとともに、クラウドの障害対策を実施する方法を紹介する。

製品資料 Absolute Software株式会社

サイバーレジリエンスがなぜ今重要? 調査で知るエンドポイントの3大リスク

エンドポイントがサイバー攻撃の対象となるケースも増えている今、企業にはどのような対策が必要なのか。2024年に実施された調査の結果を基に、3つの重大なリスク要因と、その解決策としてサイバーレジリエンスが重要な理由を解説する。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/14 UPDATE

  1. 窶懆、�尅縺ェ繝代せ繝ッ繝シ繝俄€昴h繧翫€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪r蟆る摩螳カ縺悟匡繧√k逅�罰
  2. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮Black Basta縺ョ莨夊ゥア縺梧オ∝�縲€譏弱i縺九↓縺ェ縺」縺滓判謦�€��窶懈悽髻ウ窶�
  3. IPA縲梧ュ蝣ア繧サ繧ュ繝・繝ェ繝�ぅ10螟ァ閼�ィ√€阪r蜊倥↑繧九Λ繝ウ繧ュ繝ウ繧ー縺ァ邨ゅo繧峨○縺ェ縺�婿豕�
  4. 譌・譛ャ縺ァ繧ょッセ遲悶′驕�l繧九€後≠縺ョ萓オ蜈・邨瑚キッ縲阪′諤・蠅冷€補€墓判謦�げ繝ォ繝シ繝励�豢サ蜍募ョ滓�
  5. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「縺ォ謔ェ逕ィ縺輔l縺溪€弩indows縺ョ遨エ窶昴→縺ッ�溘€€繝代ャ繝√〒逶エ繧峨↑縺�ф蠑ア諤ァ繧�
  6. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「縺ョ蜊頑焚莉・荳翫′窶懊≠縺ョ萓オ蜈・邨瑚キッ窶昴r謔ェ逕ィ窶補€戊ヲ矩℃縺斐&繧後◆繝ェ繧ケ繧ッ縺ィ縺ッ��
  7. 蟆主�貂医∩縺ョ縲郡ASE縲崎ヲ狗峩縺励b�溘€€繝阪ャ繝医Ρ繝シ繧ッ繧サ繧ュ繝・繝ェ繝�ぅ縺ョ窶�3螟ァ蜍募髄窶�
  8. 菫。鬆シ縺励※縺�◆Web繧オ繧、繝医′縺セ縺輔°縺ョ諢滓沒貅撰シ溘€€縲梧ーエ鬟イ縺ソ蝣エ蝙区判謦�€阪�謇句哨縺ィ縺ッ
  9. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  10. 繧シ繝ュ繝医Λ繧ケ繝医�騾イ蛹也ウサ�溘€€縲後ぞ繝ュ繧ケ繧ソ繝ウ繝�ぅ繝ウ繧ー迚ケ讓ゥ縲搾シ�ZSP�峨→縺ッ菴輔°

100%のセキュリティなど幻想にすぎない:Column - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

鬯ゥ蟷「�ス�「髫エ蜿門セ暦ソス�ス�ス�ク髯キ�エ�ス�・�ス�ス�ス�。鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�、鬯ゥ蟷「�ス�「髫エ荳サ�ス隶捺サゑスソ�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�シ鬯ゥ蟷「�ス�「髫エ荵暦ソス�ス�ス�ス�サ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ゥ鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ウ鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ュ鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�ウ鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�ー

2025/05/14 UPDATE

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。