某所でちょいと記事みたいな物を書いたわけですが、その時、ついでにSecurityの語源を調べてみました。
Securityという単語は、そもそもse-(~離れて)という接頭語とcura(心配)という単語の組み合わせで生まれた言葉だそうで。 だから、セキュリティとは、まず「心配の種」があってそこから離れることということ。こう考えると、セキュリティーの前提として、 そもそも心配の種が存在する必要があるということです。
これを突き詰めていくと、セキュリティとは、「何を」「誰から」「いくらかけて」「どのように」まもるのかを定義し、実行することである と言えるでしょう。でも、本当はその前提として、護るべき「何か」の価値が正しく算定されなければ意味がないということにもつながるわけですね。 したがって、
Risk = Vulnerability(脆弱性) x Threat(脅威)
で算出されるリスクだけでなく、保護対象の「価値(Value)」もしっかり考えられていなければならないわけです。
昔から何回か使っている例ですが、「単純な物理価値が100万円のダイヤモンド」(保護対象)を「月額100万かけて護る」というのは無意味なわけです。 (ここでは精神的価値(愛する人からもらったとか、芸術的価値があるなどの算定不能な価値)は0とみなします)
セキュリティ関連の話をする場合、いつもこの話をするんですが、ここを正しく理解してくれる人は少ないですね。 そう言うときによく言われるのが、大概は「サービス買って」とか「機械買って」であって、それがどういう意味を持つのかの話はしてもらえないんだそうです。
個人的な考えを述べれば、事業を行う以上、本来、価値とリスクは正しく算定されていなければならないものだとおもうんですね。 そうでないと、その事業が「ビジネスとして成立するのか?」や「ビジネスとして継続できるのか?」が判らないわけですよ。 つまりセキュリティを護るために考えることは、事業を行うために考える必要のあることと同じということなわけです。
今時セキュリティがどうの、個人情報保護がどうの色々言われますが、まず根っこに帰って考え直す必要があるんじゃないでしょうかね?