« SEC委員長COX氏の経団連でスピーチ | Main | セキュリティ投資を考える(4) セキュリティ対策の定石 »

2005.07.05

セキュリティ投資を考える(3) 等セキュア曲線

 こんにちは、丸山満彦です。今日は、等セキュア曲線という考え方です。といっても、ぜんぜん目新しい考え方ではないです。等セキュア曲線で最も効果的なセキュリティ投資項目を考えましょう。

 
 等セキュア曲線(曲面)っていうのは、私の造語です。様々なセキュリティ対策(X1, X2, X3,...Xn)を実施した結果のセキュリティ状態をSとするとき、同じセキュリティ状態となるセキュリティ対策の組み合わせからできる曲線(曲面)を等セキュア曲線(曲面)と呼ぶことにします。

 話を簡単にするために、次のようにします。セキュリティ対策を組織的対策(Xm)と技術的対策(Xt)からだけ決まることにし、それぞれは独立していることにします。また、それぞれのセキュリティ対策については収穫逓減の法則がなりたっているとします。この場合、等セキュア曲線は次のように示せます。


050705-01


 セキュリティ対策を実施すれば実施すればするほど、セキュリティレベルは上がりますので、セキュリティ対策の実施と共に右上に上がっていく事になります。


050705-02

 実際は、当セキュリティ対策は2つだけではありません。実際のセキュリティ対策がn個あったとすると、等セキュア曲線はn-1次元の等セキュア超曲面となります。

 次に、等費用曲線を書き入れます。単純化するために、管理的対策を1つするのと、技術的対策を1つするのとでは、価格は同じということにします。そうすると等費用曲線はマイナス1の直線となります。
 等費用曲線と等セキュア曲線が接する部分が特定のセキュリティ対策をする場合の最も効率的なセキュリティ対策となります。

 等セキュア曲線と等費用曲線を利用すればセキュリティレベル1からセキュリティレベル2にあげる場合の最も効果的なセキュリティ投資は技術的対策に⊿Xtのコストをかけて、組織的対策に⊿Xmのコストをかければよいことがわかります。

050705-03


 このようにして、等セキュア曲線と当費用曲線の接点を結んでいくと、セキュリティ投資経路ができあがります。

050705-04

 
 
 
 
 
 
 
 
 さて、このセキュリティ投資経路がどうなってくるかは、等セキュリティ曲線の分布に依存します。

050705-05


こんなことをまじめに考えても実務的には意味がないのですが、「どのようなセキュリティ対策をすれば最も効果的ですか」という質問をしているのは、このようなことを考えているのとそれほど違わないような気もします。

 やっぱり経験とか直感とかが重要な気がしますね。


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« SEC委員長COX氏の経団連でスピーチ | Main | セキュリティ投資を考える(4) セキュリティ対策の定石 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/4811404

Listed below are links to weblogs that reference セキュリティ投資を考える(3) 等セキュア曲線:

» 等セキュア曲線 [WindowsをUNIXっぽくのBlog]
まるちゃんの情報セキュリティ気まぐれ日記: セキュリティ投資を考える(3) 等セキュア曲線 丸山満彦氏経済学を援用したこのエントリーを非常に興味深く読みました。丸山満彦氏は技術的対策と組織的対策の2財(セキュ...... [Read More]

Tracked on 2005.07.10 at 20:53

« SEC委員長COX氏の経団連でスピーチ | Main | セキュリティ投資を考える(4) セキュリティ対策の定石 »