情報による攻撃からは情報セキュリティでは守れない。
高木です。こんにちは。
弊社では、情報セキュリティといえば、その道のプロである杉山の出番になります。
杉山の名刺には、情報処理安全確保支援士という偉そうな肩書きがついています。
あまりにも長ったらしい肩書きなので、社内ではもっぱら「ナントカ士」で通っています。
私は情報セキュリティに関しては素人なので、専門的なことはよくわかりません。
そこで、さっそく「情報セキュリティ」とは何かを調べてみることにしました。
ウィキペディアによると、
情報セキュリティは、JIS Q 27002(すなわちISO/IEC 27002)によって、情報の機密性、完全性、可用性を維持することと定義されている。
とのことです。
拡張した定義もあるようですが、今回は通常の定義だけを考えることにします。
この定義を踏まえると、情報セキュリティが実際に何をしようとしているのかが見えてくるというものです。
機密性を維持するということは、機密情報を漏洩しないための対策が必要になります。
悪意による流出はもちろん、過失による漏洩も防がなければなりません。
完全性を維持するには、改竄されないように対策する必要があるのでしょう。
もちろん、最初から情報が不完全であればどうしようもないのでしょうけど。
可用性を維持するには、(紛失等も含めて)情報にアクセスできなくなるような事態を避けるのはもちろん、第三者からの攻撃によって使用が禁止させる事態も防がなければなりません。
たとえば、知的財産権の侵害が指摘されることで可用性が失われるようなことがあってはならないので、事前にその対策を行わなければならないはずです。
それはそうと、セキュリティの話をするときには、一体何から何を守るのかが重要になってきます。
情報セキュリティではなく単に「セキュリティ」というと、その和訳は「安全保障」です。
安全保障というと、普通は国家の安全保障を指します。
国家の安全保障といえば、他国からの武力攻撃や工作活動、自然災害などから国民の生命・財産、そして国そのものを守ることを意味します。
情報セキュリティは、情報の機密性、完全性、可用性を守ることはわかりましたが、一体何から守ろうとしているのでしょうか?
漠然とした見えない敵を相手にしていたのでは、有効な対策はなかなか取れないのが普通です。
不慮の事故なのか、自然災害なのか、悪意を持った第三者なのか、あるいは悪意を持った社内の人間なのか、その辺りを具体的にイメージできないと有効活用できないと思うのです。
前置きはこれぐらいにして、そろそろ本題に入ります。
先ほどの「何から何を守るのか」という話に戻りますが、情報セキュリティは「情報を守る」ことだけを対象として「情報から守る」ことは対象にしていないような印象を受けました。
「情報から守る」ということは「情報による攻撃」を受けることを想定しています。
「情報による攻撃」というのは、たとえば露骨な誹謗中傷はもちろん、流言や風評、その他さまざまな言論による攻撃です。
どうも「情報セキュリティ」は、このような「情報による攻撃」から守ることはできないように思うのです。
これだけだと、また杉山からdisられているといわれそうなので、自分なりにもう少し踏み込んで考えてみました。
「情報による攻撃」を受けることで、企業や個人は甚大な損害を受ける可能性があります。
しかし、よく考えてみると、情報セキュリティは企業や個人を守るとは一言も謳っていません。
確かに、「情報による攻撃」を受けたところで、WebサイトやSNSが炎上することで情報の可用性が損なわれることはあるかもしれませんが、それ以上のダメージはなさそうです。
Webサイトの可用性を維持するには相応の措置が必要ですが、対策できないわけではありません。
というわけで、そろそろ結論です。
情報による攻撃からは情報セキュリティでは(企業は)守れませんが、情報だけなら守れる可能性が十分あるということです。
もっとも、情報だけ守れても、その情報の持ち主である企業が破綻してしまえばどうしようもないんですけどね。