情報セキュリティ対策の基本的な考え方として、当たり前すぎてあまり本に書いてないこと。
- 動機を持つ者に機会を与えない
- 動機を持たない者に動機を持つような機会を与えない
とりあえず、この2つの「機会」を意識して対策をしていれば、そう本質から外れた対策にはならないのではないかと思う。
「動機を持つ者に機会を与えない」
これは、人や悪質なソフトウェアなど、もともと「動機」を持っている「者」たちによからぬ活動をする「機会」を与えないということ。侵入や流出する機会をなくすのはもちろん、たとえ侵入されたり流出してもそれを無意味にする方法も考えられる。ソフトウェアでの対策や物理的な手段など、どんな方法で対策を取るにせよ、これらはすべて「機会」を減らすためのものと考えれば、その意義が理解しやすいのではないだろうか。
多くのOSやソフトウェアに毎日のようにセキュリティホールが見つかり、毎日のようにその対策アップデートがリリースされているけれど、論理的には確かに対策をしていなければ攻撃を受ける可能性がある。しかしそれはある条件下、すなわち攻撃をする「機会」があってのことで、極端な話、ネットワーク経由でわるさをする「者」がいるなら、ネットワークにつながなければ「機会」がなくなるので攻撃を受けないことになる。
ソフトウェアベンダーやセキュリティ専門機関がしきりに「危険だ」と警告していても、一般利用者の感覚として「本当に危険なの?」と思うことはないだろうか? ソフトウェアベンダーやセキュリティ専門機関は、立場的に「機会」が「ある」という前提で論じなければならないので、現実にはその「機会」が極めて少ないことであっても可能性があるのなら「危険」を言わざるを得ない。
そうすると最終的には、一般ユーザーは専門家の意見は聞きつつ、「リスクマネジメント」の視点で、リスクを評価して総合的に判断するしかない。
「動機を持たない者に動機を持つような機会を与えない」
これは、例えば不用意に見せる必要のないものを見せないという「Need to know の原則」と同じようなこと。何気なく部屋の前を通ったとき、窓から自分の好きなものがチラっと見えていると気になってもっとよく見たいと思わないだろうか?もし、窓にカーテンでもかかっていれば、何も見えないので何事もなく前を通り過ぎたかも知れない。
ここで一つ注意しなければならないのは、対象「者」によって何に関心を持つ(=知りたい・見たい・アクセスしたいという動機をもつ)かは異なるので、どんな対象「者」が接触する可能性があるかを考慮しなければならないことだ。多くの人にとってはどうでもよいガラクタでも、マニアにとっては垂涎のアイテムかもしれない。
Google Mapで地球上のいろいろなものが見えすぎるようになって、様々な機関からの要請で部分的に解像度を落としたりマスクされたりすると、「でも現地に行けば見えるじゃないか」という人がいる。しかし現地に行けない人が詳細を目にする機会をなくすことで、不用意に動機を持つ機会を減らせるという点で有効だし、もともと動機を持つ者に対しても情報を得る「機会」を減らすことになる。
情報セキュリティは「機会」と「動機」のコントロール
このように考えると、情報セキュリティ対策は「機会」と「動機」のコントロールで成り立っていると考えることができそうだ。そもそもは情報セキュリティは「リスクマネジメント」の一部でもあるので、当然といえばあまりに当然なことだけれど、なぜもっとこうした解説がなされないのか不思議だ。多くの本では ISO27001 の紹介や教科書に書いてあるようなこと、個々の具体的に手法に終始して、根本的な考え方の部分にほとんど触れられていない。総務省の「国民のための情報セキュリティサイト」も例外ではない。
では全くないかと言うとそうでもなく、こうした根本的な解説がされている資料で非常によくまとまっているのが、Microsoft の「http://www.microsoft.com/japan/technet/security/default.mspx」サイト内にある次の資料だ。(ただし、現在はTechNet セキュリティのページからはこのページへのリンクが見あたらないので、このページにたどり着くのは困難)
この中でも、概論の「技術な内容には踏み込まず、セキュリティ関連問題と対応策について理解するための文書」としている次の3つの記事が秀逸だ。
特に、「セキュリティへの脅威」の中の次の図、「攻撃へとつながるさまざまな脅威、目的、手段、脆弱性の関係を示した理論モデル」は、何年か前にこの資料を見つけた当時、自分が考えていたモデル図とほとんど同じで、これを見つけたときは自分の考えはそう間違っていなかったとうれしくなったのを覚えている。
他に、技術寄りではあるものの一般化されたものとして次のような資料もある。
情報セキュリティ対策は、情報セキュリティ担当者だけの問題ではなく、関わる全ての人が意識しておかないとその効果を発揮できない。そのためにも、技術的な手段や考え方だけではなく、誰でもわかるような一般的な原則や考え方をもっと広く理解してもらう必要があるのではないだろうか。
(追記:2013.11 リンク切れ等を修正)