« RSA Conference 2005 in TOKYO | Main | Sarbanes-Oxley Act 外国企業の内部統制監査1年延長 »

2005.03.04

情報セキュリティ 専門性が深くなるほど視野が狭くなる

 こんにちは、丸山満彦です。最近、すこしずつ頭の整理をしているんですが、「情報セキュリティ」って一言でいうけど、みんないろいろな「意味」というか、「目的」を想定して話をしていますよね・・・ちょっと整理したいと思いました。でないと、同床異夢ってことになりますから・・・。ちなみに途中版です。

  
 「情報セキュリティ」という言葉には、
①経営に必要となる「情報を守る」ことを主目的にしたものと、
②経営に重要な業務プロセスに組み込まれた「情報システムを守る」ことを主目的にしたもの
があるような気がします。

①は個人情報・顧客情報を守る、営業秘密を守るというイメージです。
②は、さらに分解される気がします。

(1)いろいろな情報や業務プロセスに関連する基盤となるインフラシステムを守る
(2)個別のアプリケーションを守る

(1)はさらに分解されて、
(a) 自分の組織を守るため
(b) 社会インフラを守るため

ですね。

また、②は、さらに次の観点から分解されるような気がするんです。
(イ) クローズなシステム
(ロ) オープンなシステム
で、この2つを分ける意味は、システムの脆弱性(攻撃の受けやすさ)が全く違うからです。

 もちろん、これらは密接に関連していて、情報を守るに情報システムを守らないといけなかったり、社会インフラを守るために自分の組織も守らなければならないわけですが・・・。

 これ以外にも、
[1]情報セキュリティ対策(コントロール
[2]情報セキュリティマネジメント
というレイヤーの違いもありますね。[1]は具体的な対策をどのようにするのか、[2]は具体的な対策が継続的に機能するようにするためのマネジメント(組織運営)の話ですね。

 でね・・・。結局、気になっているのは、このようにカテゴリー分けをすると、自分の得意な分野でみんな情報セキュリティを語っているような気がするんです。それは、それで良いのですが、それが情報セキュリティの全てと思ってしまうと問題ではないかと心配しています。
 
 具体的には、世の中②(1)で(ロ)で[1]に興味が集まっているような感じです。なぜなら、便利でしょぼい。イメージでいうと「やんちゃ坊主」。で、いろいろとトピックスがあるからです。変化があるからおもしろい。商売になる。
 そこの世界の人はその世界で何とかしようとするんだけれど・・・。周りの世界の人から見ると、その垣根を越えたら?と思うことがある。

 今、再びレガシー系が見直しされてきています。関西のある優良企業は、オープンにするのはこの業務のこのシステム、レガシーでするのはこの業務と切り分けて考えていったそうです。その結果、ほとんどレガシーですむと・・・レガシーシステムはセキュアOSより安定していて安心だし・・・。

・Windowsは安いけど不安定で脆弱、レガシーは高いけど安定で堅牢。
・インターネットは便利で安いけど不安定で漏えいの危険性が高い。専用回線は高いけど安全。

まぁ、簡単に割り切れるわけでもないのですが、このように分類して、それぞれの得意分野をうまくつなぎ合わせえて、連携しながらやっていくことが重要なんじゃないかなぁ・・・。

■専門性が深くなるほど視野が狭くなる。

難しいですね・・・
 



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« RSA Conference 2005 in TOKYO | Main | Sarbanes-Oxley Act 外国企業の内部統制監査1年延長 »

Comments

丸山 様

おはようございます。

やっと体調も回復し,仕事バリバリモードに復帰しつつあります。

> 専門性が深くなるほど視野が狭くなる

確かにそういう面があることは否定できないと思います。

ただし,ここで激辛発言をちょと言わせてください。

私が思うには,専門性の高い分野を扱うのに十分な能力を持っていない人が専門分野に参入してくるからそういうことになるんじゃないでしょうか?

世界中の非常に優れた方々と直接にお会いして思うのは,みなさんとても趣味人だし,教養にあふれ,自由な時間をたっぷり楽しみ,家族も大事にし,しかし,他の人の何百倍もの分量でハイクオリティなアウトプットをガンガン出してきます。

世の中にはいろんなカテゴリーの仕事が存在しますが,自分の能力を超えているカテゴリーの仕事を職業を選択してしまうと,本人にとって不幸なだけではなく,世間にとっても大変な迷惑だというただそれだけのことなのかもしれません。

そうなると,専門性が深くなるほど視野が狭くなるというテーゼは,一定の制限されたカテゴリーの人々に対してのみ適用されることだということがお分かりになると思います。

どんなに専門性の深いことであっても,社会的文脈を熟知しつつ,あたかも掌の上でころがすかのように容易に解析・理解し,解決策を見出してしまう人というものは,どの会社にも少なからず存在していると思います。ただし,非常に多くの場合,そのような優れた人材よりも経営者の能力のほうが大幅に劣っているかまたは経営者が非常に吝嗇・狡猾であるために,せっかく優れた人材がいても相応の名誉や地位や報酬や仕事が与えられていないということなのではないしょうか?

このことは,社会の中の人的資源という観点から見た場合でも,かなり大きな損失なのではないかと思います。


Posted by: 夏井高人 | 2005.03.04 at 10:27

丸山さん

上海の黄浦江に沈みかけている谷口直之です。ゴボゴボゴボ・・・

丸山さんと前に大阪でちらっと話をしましたね。で、前にこのblogのどこかに、「情報セキュリティ」が別の意味を持っちゃってる、と書いたのも、多くの方が狭い範囲で「情報セキュリティ」を語って、それぞれの解釈を造ってしまってる、という思いからです。

私もこの「情報セキュリティ」を分類、整理していきたい、と本当に思っています。でないと、視野が狭くなっちゃってる人も、そうでない人も不幸になるんですよね。(いうても私自身も、まだまだ視野が狭いと思いますが。)

きちっと整理して取り組まないと、日本の国やら組織がこれだけお金と時間をかけて「情報セキュリティ」に取り組んでいるのにもったいないです。整理されていないがゆえに、皆さんとても多くの時間とお金を無駄に浪費している気がします。

丸山さんも意図されているわけではないと思いますが、夏井先生がおっしゃるように、すべての専門性の高い方が視野が狭くなっちゃってるわけではないと思います。また、能力が高くても、なにかの意図があって狭い範囲で話をしている方もおられることでしょう。でも、原因はともかく、「情報セキュリティ」を語っている人で狭い範囲で話をしている人は多いと感じます。

で、組織に「情報セキュリティ」を落とし込んでいくためには、必要なカテゴリすべての「情報セキュリティ」を連携させて機能させていくための仕組みや取り組みが必要になりますね。さらに、情報は組織を運営していくための一つの経営資源である、とすれば、情報の効果的な活用とリスクマネジメントを一体として取り組む必要があるので、その観点では「情報セキュリティ」だけでも「狭い」わけですよね。組織の経営者、あるいは組織にこのような話の助言をする立場の専門家は、「情報セキュリティ」の全体像はもちろん、それ以外の、「情報を経営資源として活用しリスクマネジメントを実施していくために必要なすべての活動」を視野に入れた上で考えていかないといけないわけです。

経営者の方が「情報を経営資源として活用しリスクマネジメントを実施していくために必要なすべての活動」の全体像を認識し、自社組織の経営目的と経営活動に照らし、組織において「情報を経営資源として・・・必要なすべての活動」を鳥瞰したうえで、組織としての活動の全体像を描けないと、組織としての取り組みは難しいでしょう。経営者自身がそれをすることが難しいのであれば、せめてその必要性に気付いていただき、それを実施する役割と責任および権限を与えた組織あるいは人に実施させるべきでしょうし、さらに既存の要員でそれができないのであれば、それができる専門家に支援を頼むべきでしょう。

多くの人がなるべく広い視野で「情報セキュリティ」を捉え、それぞれの人が「情報セキュリティ」を語る際に全体の活動の中での位置付けをはっきりさせる必要がありますね。そうしていかないと、いつまでも「情報セキュリティ」がゴチャゴチャの状態で多くの人が時間とお金を浪費する状態が続いてしまいます。そのためにもこの整理分類は非常に重要になると思います。

Posted by: 谷口直之 | 2005.03.04 at 16:06

高橋です(真面目モードで)

自分としては、「情報セキュリティ」というのに正解はないということです。「CIAについての考察」という枠をみんなで認識していれば、それを法律から切ろうが、技術から切ろうが、政治学からきろうが、どれも非常に有益だと思います。
「①経営に必要となる「情報を守る」ことを主目的にしたものと、
②経営に重要な業務プロセスに組み込まれた「情報システムを守る」ことを主目的にしたもの」
という枠組みじたいが、私にすれば、狭い感じがしますよ。
CIAのために、あとで検証しうる法律問題も充分にセキュリティですよね。情報についての保険での「リスク甘受」だって、充分にセキュリティですよね。

ただし、この分析行為や「正確な定義」というのが、労多くして益すくないというのは、結構、概念法学はなやかなりし世界をしっている人にとっては、共通の認識と理解しています。

(本当に真面目モードでした)


Posted by: 高橋郁夫 | 2005.03.04 at 21:06

丸山 様

こんばんは♪

専門性のある部分だけについて「木を見て森を見ず」になる(顕在的または潜在的な)危険性は,私自身を含むどの専門家も持っていることは事実ですね。

この文脈とちょっと関連する話題で,最近,「生体認証はなぜ駄目なのか?」という質問をよく受けるようになってきました。

「駄目です。」

その理由は,東洋経済3月5日号に六川浩明弁護士が「生体情報は漏洩されて第三者にコピーされてしまうと預金者は外科手術を受けて静脈配列等を変えない限り二度と当該生体認証を使用できなくなる。」「また、全国すべての金融機関がある特定の生体認証方法を採用すると、その情報を第三者にコピーされてしまった預金者は、預金をする方法が日本国内になくなってしまう」と述べているところと同じです。掌の静脈配列なら手術で修正可能かもしれませんが指紋や虹彩の形状を修正・変更する方法は現在のところありません。DNAに至っては全く修正不可能です(死んでしまう。)。しかも,仮に手術で修正可能だとしても,手術の痕跡を消してしまう整形手術等を含めた費用や手術のために要した休業補償等を当該金融機関等が支払ってくれる可能性なんてゼロじゃないでしょうか。

また,生体認証と言っても,要するに,認証のための対照データはデジタルコード化された符号として処理されるのでコピー可能だし偽造も可能です。

こんなことを説明すると,たいてい,「暗号化しているから大丈夫じゃないか」という反論が返ってきます。
しかし,金融機関等に内通者が一人でもいれば暗号なんて意味ないんですよ。

ごく限られた分野で非常に少ない人間だけが関与してシステムを管理している場合にはあまり問題が発生しないかもしれませんが,暗号技術や生体認証技術等が一般的な技術として普及すると,世間一般に存在しているのと同じ確率で内部から犯罪者が出ることになっていきそうですね。
だから,暗号技術は一般的に普及させ誰でも使えるようにしちゃ駄目なんです。

日本の金融機関全部で生体認証技術を導入するのは,あまりに馬鹿げたことですね。

キャッシュカード(デビットカード)の偽造はなくなることがないと思いますが,今後とも一定割合で詐欺や偽造が発生することを甘受し,損害保険でカバーするのが最も柔軟な対応だろうと思います。
なお,警察がより迅速・適切に捜査を遂げ,犯罪者を逮捕できるように全精力を傾けるべきことも当然のことです。

Posted by: 夏井高人 | 2005.03.05 at 19:39

夏井先生、谷口さん、高橋さん、コメントありがとうございます。

情報セキュリティに限らないのですが、「何かを語る時、どうしても自分の知識を中心とした世界しか見えないのではないか」と、いうのが私の疑問の出発点です。これは大学時代から思っていることです。私は農学部で有機化学をしていましたが、専門的な話は本当に世界でも極一部の人しか本当のことを理解していないし、興味ももたれない。専門性が深まれば深まるほど、興味の中心が細かい点になっていく。そして全体感を失っていく。
①知識=特定の知識の深さ×知識の幅
②知識を目的に応じて利用する能力
というのがあると思っています。

①も②も「もって生まれた」能力と「生まれてから獲得し」能力とがあいまって獲得していくことができ、人によりその大きさは当然に異なると思います。知識が深くその幅が広い人もいます。でも、神の存在のような人はいない。自分の能力を謙虚に考え、様々な能力のある人と結びつけていくことが人知だと思っています。

有識者と言われる人ほど、そういうことを意識しないといけない。これは、特定の人に対する非難でもなんでもなく、普通に世の中を見ていて思う感想です。

Posted by: 丸山満彦 | 2005.03.06 at 11:58

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/3153011

Listed below are links to weblogs that reference 情報セキュリティ 専門性が深くなるほど視野が狭くなる:

» 「情報セキュリティ 専門性が深くなるほど視野が狭くなる」(丸山満彦さん) [システム管理な雑記 -- just random tryouts of a sysadmin -- 現場にあるモノを活用し、楽しむ準備をしよう]
「情報セキュリティ 専門性が深くなるほど視野が狭くなる」(丸山満彦さん) [Read More]

Tracked on 2005.03.05 at 19:45

« RSA Conference 2005 in TOKYO | Main | Sarbanes-Oxley Act 外国企業の内部統制監査1年延長 »