【セキュリティ最前線】
失敗から学ぶセキュリティポリシー
第4回:やってはいけないを未然に防ぐポイント!
著者:NTTデータ・セキュリティ 茅野 耕治
公開日:2008/1/31(木)
大切なのはバランス
前回までに、「第2回:セキュリティ推進担当側が陥り易いワナ」と、「第3回:現場が勘違いしやすいポイント」について解説してきた。現場の実情を反映していないポリシーや、リスクに気付かずにポリシーの逸脱をしてしまうケースは、現実によく目にする事例である。
ではこれら2つの共通点は何だろうか。
現場の実情を反映していないケースでは、セキュリティ推進担当側の思いが強すぎて何でも禁止にしてしまっていた。現場の都合を優先しすぎるケースでは、現場の声が強すぎてポリシーを反故にしてしまっていた。
つまり、どちらのケースにおいても観点が偏っており、いわゆる「部分最適」に陥っているのである。セキュリティポリシーの策定にあたっては、全社的な観点からそれぞれの立場の担当者が全体最適を目指さなければならない。
セキュリティ推進側にとっては心配の種が尽きないわけで、ありとあらゆる対策を実施しようと考えるのも無理はない。しかしながら、どんなに対策したところでリスクは完全にゼロにはならない。コストとのバランスも考慮して対策を選択すべきなのだが、「受容するリスクを見極められない」ために、どうしても過剰な方向に傾いてしまう。その結果、業務の効率に大きく影響してしまうのである。
図1:業務効率とセキュリティのバランス
リスクを取り違えてはいけない
海外旅行の際、現金ではなくトラベラーズチェックで持っていくようにといわれる。トラベラーズチェックは盗難にあっても再発行することができ、現金に比べて交換レートのよいのが一般的だからである。
しかしながら、国によってはトラベラーズチェックの換金に多くの手数料を取られ、現金の方が交換レートのよい場合もある。盗難時の保険と考えることもできるが、そのような国では現金でないと両替できない場合もあり、使い勝手は明らかに現金の方がよいのである。
盗難にあった時の損害の大きさはわかるが、現金を持っていると触れ回っているわけではないため、実際には脅威の大きさはそれほど変わらない。現金を持っているからといって、直ちに重大な脅威にさらされるわけではないのだ。それより重要なのは、現金やトラベラーズチェックの取り扱い・保管方法に注意することである。
セキュリティポリシーの策定についても同様にリスクとは何かを見極める必要がある。 次のページ