今回は、社会人として知っておくべき情報セキュリティの”考え方”について、いくつかのキーワードを基に考えてみたいと思います。
(1)トレードオフ
セキュリティの強固さと利便性はトレードオフの関係にあります。これは情報セキュリティに限らず、すべてのセキュリティにいえることですでもあるのですが。
例えば自転車の鍵を2つ付けると盗まれにくくなるが、施錠、開錠に毎日時間を取られます。
セキュリティを強固にしすぎて、使い勝手が悪くなりすぎると、業務効率が悪くなり、果ては使用されないシステムとなってしまう可能性があります。
やみくもにセキュリティを強固にするのではなく、適切なセキュリティレベルを予め定めて、それを目指して実装しなければなりません。
(2)フォルスポジティブとフォルスネガティブ
個別の情報セキュリティ対策を行っていく上で、最初に考慮しなければならないのは、「ホワイトリスト」を作るのか、「ブラックリスト」を作るのか、という選択です。
迷惑メール防止を例にして考えてみます。
「ホワイトリスト」を作成する方法をとった場合、つまり受信してもよいメールアドレスリストを作ってリストに含まれないのメールアドレスからのメールは受け取らない方法をとった場合は、
迷惑メールは来なくなります。これは迷惑メール防止という本来の目的を果たしています。強固なセキュリティに守られた状態と言えます。
ただし、受信したいメールアドレスが増えるたびに登録作業が必要です。忘れたり、スペルを間違えたりすると重要なメールを受信できないという事態も発生しえます。受け取りたいのに受け取れないという事態(フォルスポジティブ)の発生です。
「ブラックリスト」を作成する方法をとった場合、つまり受信したくないメールアドレスリストを作ってリストに含まれるメールアドレスからのメールは受け取らない方法をとった場合は、必要なメールは今まで通り届きます。サービスを便利に活用できている状態と言えます。ただし、迷惑メール発信者は、頻繁に送信元ドメインを変えてきます。迷惑メールを受信することは防ぎきれません。こちらはフォルスネガティブですね。
どちらが良いのか判断に迷うところですが、用途が限られている情報システムは、可能な限りホワイトリストを使うべきです。つまり、フォルスポジティブを選択します。
ホワイトリストだと、利便性が大きく損なわれてしまい使い物にならなくなるような場合のみブラックリストで対応します。
例えば、会社からのインターネットでコンテンツブロックを掛けるような場合ですね。
情報セキュリティについて検討する際は、これらの”考え方”を頭の片隅に入れておきましょう。