セキュリティ
「セキュリティはなぜやぶられたのか」という本がとてもよかったのでまとめてみた。
1.セキュリティ対策とは
まず、セキュリティとは「意図的で不当な行為による被害を防止すること」としている。リスク管理と違って災害による被害は含まない。
セキュリティ対策を難しくしているのは恐怖心だ。ただ怖がるのではなく、セキュリティ対策に必ず存在するトレードオフを適切に判断する必要がある。
同時多発テロ後のアメリカ政府の対応を、トレードオフを無視して実施した対応が、かえって新しいリスクを生んだ例として指摘している。事件に反射的に対応するのではなく、本質的な問題を検討する必要があるのだ。
その時の基準として「5段階評価法」を紹介している。
- 守るべき資産は何か
- その資産がどのようなリスクにさらされているか
- セキュリティ対策でリスクはどれだけ低下するか
- セキュリティ対策でどのようなリスクがもたらされるか
- 対策にはどれほどコストがかかり、どのようなトレードオフが存在するか
この方法でセキュリティ対策を評価することで、適切な対策がとれるという。
セキュリティ対策には3本柱がある。理想は被害の「防止」だが、完全に防ぐためにはコストが高いことが多い。そのような時、とれる妥当な方法として、「検出」と「対応」がある。被害があっても適切な「検出」と「対応」ができれば、完璧な「防止」を目指すより効率的だ。対策はこの3つの柱で考えるべきだ。
2.インターネットショッピングの例
インターネットショッピングを利用するべきか、という問題が例に上げられていた。(ちなみに、私は今まで恐怖心から、できるだけ控えてきた。)
まずは5段階評価法。
(1.守るべき資産は何か) カード番号、住所などの個人情報
(2.その資産がどのようなリスクにさらされているか) Webサイトで入力した情報を盗まれる
(3.セキュリティ対策でリスクはどれだけ低下するか) 入力した内容を盗まれる可能性は確かにある。しかし、攻撃者にとって、はインターネットから一人ひとりの情報を盗むよりも、サーバに進入してデータベースから盗む方が効率がよい。自分がインターネットショッピングをしなくてもカード会社に登録する限り、盗まれる可能性はある。従ってリスクは低下しない。
(4.セキュリティ対策でどのようなリスクがもたらされるか) インターネットショッピングを控えることによるリスクは存在しない。
(5.対策にはどれほどコストがかかり、どのようなトレードオフが存在するか) コストはかからない。インターネットショッピングの利便性を放棄することになる。
そして、対策を考えると、まず「防止」は難しいことがわかる。「検出」はクレジットカードの利用明細を確認すればよい。「対応」はカード会社に連絡すること。不正利用された場合、全額を支払わされることはあまりないようだ。
3.感想
そう考えてみて、信頼のおける会社・カードを選べば、それほど不安に思う必要なかったことがわかった。私、Web技術者なんですけど・・・。恥かしいけど勉強になった。