セキュリティに関して思うこと
年金機構問題でつい色々書いてきたが、まぁ、自分のセキュリティ知識なんて知れている。 知らないことがたくさんあるから、うまくまとまらないし、話もあっちこっちに散らばってしまうわけだ。 でもまぁ、思っていることがある間に、少しずつ駄文を生産することにする。 素人考えなので、専門家から異論があるかもしれないが、私の思う事をグダグタ書いてみる。
例によって、飽くまで個人の雑感なので、気に入らない人は華麗にスルーしてください。
さて、お題のセキュリティ。
本来、セキュリティという言葉は、ラテン語の「Se-(〜から離れる)」+「cura(心配事)」から成り立っている。 つまり、個人や組織などが持っている心配事から離れていくことがセキュリティの基本的なイメージと言える。
では心配事とはなんだろう?色々な考え方があると思うが、例としては「人の生き死に」や「財産や収入の毀損」など、何らかの不利益が思い浮かぶのではないだろうか?
よく考えると、この心配事は大きく分けて三つの面を持っている。それが
- 守るべき対象(生死や財産、収入、愛情など)
- (守るべき対象に対する)不利益が起こる可能性
- 不利益が起こった時の影響(死ぬ、大怪我をする、財産がなくなる、振られるなど)
- この不利益が起こった時の影響を算定するために、保護対象の価値などを十分に考える必要がある。
であると私は考えている。
セキュリティを考える上で、非常に重要な言葉としてリスクというのがあるが、このリスクを私は
リスク=不利益が起こる可能性×不利益が起こった時の影響
と考えている。もちろん、相当に単純化しているが、これで概ねの用は足りる。
さて、このリスクが「足し算(加算)」ではなく「掛け算(乗算)」である事が重要なのだ。
極端な例で考えてみよう。
- もし「不利益が起こった時、その影響がない」のであれば、「不利益が起こる可能性が100%」であっても問題ない。
- なぜなら影響を被らないから。
- 逆に「不利益が起こる可能性が0%」ならば、「不利益が起こった時の影響が甚大」であっても問題ない。
- なぜなら、不利益が起こらないから。
もちろん、この例は極端であり、単純すぎる。 なぜなら、不利益が起こる可能性が0なら、そもそもそんな事を考える必要がないし、影響がないなら、それはそもそも不利益ではない。 しかし、「可能性は(非常に小さいかもしれないが)0じゃない」場合や、「影響はないわけではないが非常に小さい」場合がある。その判断ができるのは、当然、「それをリストアップしている」からであって、考えた結果として棄却できるだけであろう。
セキュリティを確保するという事は、保護する対象それぞれと、想定されるリスク、そしてリスクに対する対策を行うという事を意味するのだから、最低限この単純な考えを持っているべきであろう
ここで、自分の事を考えてみる。 自分は、このようなセキュリティの確保の事をちゃんと考えているだろうか?
正直に言えば、残念ながら(少なくとも私は)ここまでいつも考えているわけではない。 なぜ考えないのだろうか?
少なくとも私の場合、「守る・護る」べきものをそこまで明確に定義しているわけではない。 そして、失う事を考える事自体が恐ろしいから、リスクを詳細に分析しない。
- 「そんな事が起こる可能性は低い」と思い込みたい
- 不利益が大きければ大きいほど、可能性を低く考えたい
から、リスクから目を背けてしまう。
現実の問題として、正しく準備していれば、影響を小さく、もしくは可能性を小さくする事ができるのかもしれないが、「コスト(お金や時間)がかかる」というすぐ目の前にある「小さな不利益」を大きく取り上げて、本来のリスクという「大きな不利益」に蓋をしてしまうわけだ。
この流れ、見かけた事がありませんか? 自分の家族、自分の所属する組織などで。
つい風呂敷を広げてしまったが、このしばしば見かける流れの延長線上に、いわゆるITセキュリティ関係の事件が発生していると思っている。
「今そこにある危機」、それに対して「自衛する手段」、それは、この単純な考えなのではないか?そして、継続的に実施すること(できてないけど)などと思う次第であります。 そして、自分の課題は、「どうやって(時々でいいから)継続的に見直すか」なのだろうと思います。
もう少し掘り下げたいと思うが、時間もないので、今日のところはこの辺で駄文を終りにします。