情報セキュリティにおける思考停止の罠2016.11.1

私個人の意見として、情報セキュリティというのは常に「考える」ということが必要だと考えています。その意味で私自身がコンサルティングする場合には、ひたすら「考える」わけです。実際、私だけが考えても意味はなく、コンサルティングする場合にはお客様にも考えてもらう（私の「考えた」結果をなぞることも含めて）わけです。で、今回はこの情報セキュリティにおいて「考える」ということについて、ちょっと書いてみます。


＜そもそも「考える」って？＞

で、そもそも情報セキュリティにおいて「考える」ってどういうこと？という話があると思いますが、「実施するor実施しているセキュリティ対策の実施理由を社会を含めた関係者に対し、納得できるように説明できるか？」ということだと考えています。
例えば、会社のシステムのユーザIDのパスワードポリシーで、「最小文字数8文字、英大文字、英小文字、数字を含むこと」と決められていた場合、「8文字ではなく6文字ではいけないのか？」といったことや「なぜ、パスワードを採用したのか？」を会社のセキュリティ担当者が説明できるか？ということだったりします。そこで、「そういうルールだから！」とかではなく、なぜその結論に至ったのかを論理的に説明できなくてはいけないのです。
ということで、「考える」ことが必要だと思うわけですが、それを阻む「思考停止に陥る罠」があったりします。


＜罠１：セキュリティ関連規格、各種セキュリティガイドライン＞

セキュリティ関連規格は代表的なものとしては、ISO/IEC27000シリーズ（ISMS）、JIS Q 15000（個人情報保護、Pマーク）、PCI DSS(Payment Card Industry Data Security Standard：クレジットカード業界における基準)など。セキュリティガイドラインは省庁が出している業界別の情報セキュリティや個人情報保護に関するガイドラインなどがあたります。
これらが、なぜ「思考停止に陥る罠」になるのか？
実際問題、これらの規格の出来が悪いのか？と言われると、出来が悪いわけではないです。むしろ、その背景や内容を理解してきちんと使いこなせるなら、出来はいいと言えます。つまり、背景や内容を理解せず自社にどう適用すべきかを「考えず」に使うと、結果として「形骸化」といわれる状況が発生したりします。
それを防ぐには、それぞれのガイドラインの特徴を理解し、そのうえで適用にあたって何をすべきかを考え、実行し、場合によっては試行錯誤していく必要があります。
セキュリティ関連規格やガイドラインですが、大雑把な言い方をすると「セキュリティ対策を分類・羅列したもの」と「実装すべきセキュリティレベルを記述したもの」に分かれます。ISMS、Pマーク、経産省のガイドラインなどは前者、PCI DSS、FISC（金融情報システムセンター）の安全対策基準などは後者にあたります。それぞれの分かりやすい例でいうと、ISMSだと具体的なパスワードポリシー、例えば何文字以上とかは書いていませんが、PCI DSSの場合には具体的にパスワードを認証方式として利用する場合には7文字以上という記述があります。
したがって、前者のような実装すべきセキュリティレベルの記述のない規格・ガイドラインを利用する場合には、その実装レベルをどうするかを考える必要があります。
では、後者のような実装すべきセキュリティレベルが記述されている場合ですが、記述内容の実装方法が簡単にわかる場合はいいのですが、実装方法を記述している規格・ガイドラインはほぼないため、どのようにして実装すべきか？をちゃんと考える必要があります。また、満たすことが出来る場合はいいのですが、それが出来ない場合にどうすべきか？といったことを考える必要があります。
あと、前者でも後者でもそもそもその規格・ガイドラインを適用・採用する理由は何か？を考える必要はあります。
こういったことを理解せずに、「この規格・ガイドラインに準拠」としようとするのは思考停止に陥る可能性が高いです。


＜罠２：ベンダー等の「ソリューション」とか＞

セキュリティ製品ベンダー等は「ソリューション」という売り物（？）を大体持っています。「○○には、このソリューションを使えば解決」と言っているわけですが、彼らは彼らが提供する製品やサービスである程度のニーズに対応する形で製品・ソリューションの提供をしているのであって、利用者側の個別の事情を考えてくれるわけではありません。つまり、彼らが提供するソリューションは、テストケースや事例に基づいて開発されているので利用者側の組織の状況は考慮していません。さらに言えばそのソリューションが利用者側の組織に必要か不要かも「知る由もなし」です。
ベンダー側からいえば、「そんなのはそっちでちゃんと考えてください」ということなので、少なくともそういうことはちゃんと考えないといけないのです。


＜「セキュリティに正解はない」と言われる訳＞

上記のような思考停止の罠があるわけですが、他にも思考停止の罠はあったりします。そういった「思考停止」を上手に避けながら、進めていく必要があります。自社における情報セキュリティリスクは何なのか、その対策をどのように自社の組織・業務・システムに組み込んでいくのかを、それぞれの組織の事情に合わせて決めていく必要があります。したがって、「これが正解」であるというものが予めあるわけではなく、あくまで「うちはこうやる」ということを考え抜いて関係者で「合意することが」必要なのです。この合意が正解なのかと言えば、そうとも言えないのです。それは、そうした合意があっても事故の可能性はあり、万が一大事故が起こったとしたら、合意した内容が正解といえるのか？ということになるからなのです。