Securityは常に「コスト」と「効果」のバランスでしか語るべきではありません。「何を」「誰から」「いくらかけて」「どのように」保護するのか以外に評価基準は無いわけで。
今の企業は、客観的価値(思い入れなどを除く)が100万円のダイアモンドを年間100万円かけて5年も金庫に入れておくというよく判らない対策と同様のことをやっていると思うんだよねぇ。
CISSP的に考えるなら、「可用性」「完全性」「機密性」はこの順序で考慮されるべきであるわけです。これは忘れてはならない視点でしょう。
この記事は広告ではあるけど、良いことを書いてあったので敢えて取り上げてみました。