Skip to content

セキュリティ原理主義

~ビジネスを守るための情報セキュリティであれ~

セキュリティ・エグゼクティブ・ディレクター 中島浩光

今回のコラムのタイトルである「セキュリティ原理主義」、もともとセキュリティ業界の知人から聞いた言葉です。この言葉を初めて聞いたのは、業界人同士の打合せの場であったんですが、出席していた人は大笑いでした。そのくらい参加者にとっては「あるある」というか、「言いえて妙」というか、そういう「困りモノ」に関する用語・比喩だったわけなんです。今回は、この「セキュリティ原理主義」についてちょっと考えてみました。

<セキュリティ原理主義とは何か?>

まず、「原理主義」の辞書的な意味は、特定の宗教の話ではなく「一般に、基本的な理念や原理原則を厳格に守ろうとする立場」(デジタル大辞泉より引用)という意味であり、その立場をとる人を「原理主義者」といいます。
また、「原理主義者」の辞書的な意味を調べると「原理原則だけを唱え、かたくなで融通の利かない者を揶揄していう語」(デジタル大辞泉より引用)です。
上記を踏まえて、「セキュリティ原理主義」は「情報セキュリティの原理原則だけを厳格に守ろうとし、かたくなで融通のきかない立場」であり、「セキュリティ原理主義者」は「セキュリティ原理主義」の立場をとる人、と定義します。
そういう人たちがなぜ「困りモノ」なのか? 情報セキュリティ原理原則を厳格に守るのは悪いことではありません。問題は情報セキュリティの原理原則「だけ」であり、「かたくなで融通がきかない」という部分なんです。

<セキュリティ原理主義者の特徴>

セキュリティ原理主義者の特徴で最も分かりやすいのは、とにかく「煽る」。セキュリティに関する脆弱性や脅威に関してとにかく危険と言うことです。
例えば、リモートからの攻撃が可能となる緊急性の高い脆弱性について危険と言うのは問題ないとしても、そうでない脆弱性についても「サーバのOSに何らかの手法で入り込まれてから、利用される可能性があるから危険」と言うのです。確かに最近の情報セキュリティ事故の中には高度な手法を使っていると思われるものあったり、実際に発見されていない/検知されていない情報セキュリティ事故も多くあるのかも知れないので、それらの脆弱性が実際の事故に利用されているのかも知れませんし、将来的に利用される可能性もあるので、「安全である」とは言えませんが、緊急度や実行難易度等から見て可能性が低くても「とにかく危険」と言ってしまうのです。

また、セキュリティ原理主義者の特徴として、リスク対応において「受容」という選択肢がない場合が多いということがあります。セキュリティリスクの対応としては「低減」「回避」「移転」「受容」の4つの対応が分類としてあります。「受容」というのは分かりやすく言うと「何もしない」「放っておく」「様子をみる」ということで、ISMSにおいても「リスクの受容基準」が出てきたりするのでリスク対応としては選択肢の一つなんです。しかし、セキュリティ原理主義者にとっては、脆弱性があると「絶対に対策をしなくてはいけない、しないのは信じられない」という感じなのです。

<「困りモノ」である理由>

さて、セキュリティ原理主義者の特徴を書いてみましたが、彼らが「困りモノ」である理由はなんでしょうか?端的に言ってしまえば「業務目線の欠如」と言えるでしょう。

脆弱性情報や脅威情報に関していうと、それらの情報に対して自分達の組織のネットワークや情報システム、現状のセキュリティ対策の状況と照らし合わせて検討し、対応の必要性・緊急性がどの程度なのか、実際の対応の方法、費用・工数はどの程度なのかといったことから、最終的な判断をする必要があるのですが、彼らには「どの程度」という概念がなく、また対応の実現可能性を考えていないことも多いです。そのため、組織内でセキュリティ原理主義者が意思決定者になってしまうと、セキュリティ対策のコストが膨れ上がったり、業務に支障が出たりすることがあります。

また、ビジネスにおいては「敢えてリスクを取る」ということもあります。ビジネスにおいては、情報セキュリティ以外にも多くのリスクがあり、経営側は情報セキュリティリスク以外にも対応する必要があり、どのリスクに対策を打つのか、どのリスクは受容するのかを決めます。その中では「情報セキュリティリスクを敢えて取る(受容する)」、という選択も十分あるのです。しかし、セキュリティ原理主義者の思考においては情報セキュリティが全て、かつ、最優先であることが多いのです。

<セキュリティ原理主義者はダメなのか?>

では、セキュリティ原理主義者はダメなのか、というと、そういう訳でもないのです。
まず、組織の業務・ビジネスにおいて気密性・完全性・可用性において高度に管理がされなければいけない場合や、ビジネスのIT依存度が高くかつビジネス規模が大きい場合など、一旦事故が起きた場合の被害が甚大になる場合には、セキュリティ原理主義に近い考え方が必要になるケースがあります。
また、セキュリティ原理主義者は技術的に優秀であったり、最新のセキュリティ情報に詳しかったりするので、使う側がちゃんと意識していれば、監視役、情報源として使うには有用である場合もあります。

<情報セキュリティはビジネスを邪魔するためのものではない>

情報セキュリティは「守るモノ」があって初めて成り立ちます。「守るモノ」は顧客情報・機密情報や情報システム等がありますが、もっと大きなくくりでいうと組織が行う事業・業務、顧客や取引先を含めたビジネスなわけです。最近は特に「セキュリティリスクは経営リスクとして捉えるべし」といわれています。経営リスク=ビジネスリスクとして捉えることになるわけなので、それこそ情報セキュリティの世界だけで考えるのではなく、ビジネスの世界の一部として情報セキュリティを考えるのが、組織内の情報セキュリティに関わる者の努めになるのです。その際には、情報セキュリティ対策がビジネスの「防御」はしても「邪魔」になってはいけないのです。