セキュリティに関して思うこと(その2)
もうしばらくセキュリティの一般的な部分に対する思うことを書いておく。
しつこいが、例によって個人の雑感なので、どう思っていただいても結構だが、気に入らない方は華麗にスルーしてほしい。
先日の記事で、リスクを
リスク=不利益が起こる可能性×不利益が起こった時の影響
と書いた。
今回は、不利益が起こった時の影響の部分を少し書いてみる。
仮にあなたが市場価格1億円のダイヤモンドを持っているとしよう。 話を簡単にするために、このダイヤモンドは純粋に資産として持っているものであり、価値のみが評価基準だとする。 このダイヤモンドを守るというのはどういうことだろうか?まず、心配事を書き出してみよう。
- 盗まれる
- 壊れる(割れる、燃えるなど)
- 価値が減少する
と言ったあたりが心配事の中心になるだろう。 (他にも、例えば借金の担保だったり、見物料などを取っていたりするかもしれないがきりがないのでこの程度で) これらの心配事が不利益を考える上での第一歩である。
次に不利益となる事態が発生したら何が起こるのかを「盗まれる」という不利益を例に考えてみる。
- ダイヤが盗まれる→1億円の資産が0になる→取り戻すために何らかの行為を行わなければならない→コストが発生→被害が拡大する
- ダイヤが盗まれる→それだけの資産を持っているくせに防御が甘いと認識される→常に狙われる立場になる
- ダイヤが盗まれる→盗まれた事実を知られてしまう→やっかみ等の対象にされる→人間関係が悪化する
- ダイヤが盗まれる→盗まれるような体制を敷いていたお前が悪いと非難される→気分が悪い
(他にも様々あって、ここではいちいち書ききれない)
セキュリティを考える上では、「保護すべき対象」と「対象の価値」と「対象に付随する価値」をしっかり見つめる必要がある。 特に、「対象に付随する価値」は、「対象の価値」と違い、時代や状況などによってしばしば大きく変化してしまうものである。 そして、この「対象に付随する価値」を見極めなければ、不利益が起こった場合の影響を算定する事ができない。
ISMSやP-Markを取得する際に、必ず保護しなければならない情報のリストを作成し、機密度等を見直し、(ある程度の)価値算定を行うのは、まさにリスクを(できる限り)明確にするために必要だからである。
ベネッセの件でJIPDECがプライバシーマーク認定を剥奪した。 この件で、実はJPIDECに質問を出し、回答をもらった。ここにそのまま貼るわけにもいかないので、サマリーを記載しておく。
- プライバシーマーク制度委員会で審議した。
- 審議内容は非開示である。
- 取り消し措置の根拠は第15条7項による。
- 実覚事項および判断基準は
- 乳児を含む機微情報であり、影響が長期間継続する可能性が高い
- 社会への影響および「制度への影響が大きい」こと
- 流出した個人情報数が過去最大規模であること
- ただし、各自項において閾値を「制度としては設定していない」
個人的には、このような決定を下した段階で、「プライバシーマーク制度は死んだ」と言わざるを得ない(認定を取得しても意味がないことが明確になった)と考えているが、飽くまでも個人の考えなので、異論・反論はあるだろうとは思う。
これを見て、「対象に付随する価値」というのは算定が難しいものであり、評価者次第で物凄い差が出るものであると思う。
セキュリティを考える上で、おそらく一番難しいのは、この「不利益が起こった時の影響の算定」なのだろうと思っている。 なぜなら、影響を算定するための「価値」の算定根拠はどうしても主観が入らざるを得ないものであり、したがって、主観が異なってしまえば算定価値が変化してしまうからである。
結論のない、グダグダの駄文だが、思うことということでお許しいただきたい。