« 米国はやっぱりテロ対策? | Main | セキュリティ投資を考える(6) 米国だって悩んでいる »

2005.07.09

セキュリティ投資を考える(5) 可能性を言い出したら切が無い

 こんにちは、丸山満彦です。セキュリティ対策をどこまですればよいのか? 移動中の地下鉄の中で、そんな話をしました。米国で金融機関に対するセキュリティコンサルティングをしている人は、まず、セキュリティ対策の全体像を示し、どの分野が脆弱であるのかを確認すると言っていました。


話のきっかけは、
■vnunet.com 2005.07.04
Hackers crack two-factor security

 リスクアセスメントをすればよいけど、大規模の金融機関では、全社のリスクアセスメントを細かくしていると時間がかかりすぎるので、気になっている部分があれば、まず、その部分から対策をとればよいと・・・。気になっている部分の対策をしている間に全体のセキュリティ対策計画を考えればよい。うーん、同じ意見だ・・・。
 それから、カナダで脆弱性アセスメントや侵入テストをしている人が言っていたことは、「いろいろなベンダーが、セキュリティ製品を売り込むために、少しでも脅威があれば、「危ないから対策を実施しなければならない」と言ってくるが、コンサルタントの仕事は、「それは可能性が少ない」と言ってあげること・・・」と言っていた。なるほど・・・。可能性が言い出したら切が無い。わずかな可能性であっても脅威を認識することは重要。しかし、対策を実施する順番は、脅威の発生の可能性に依存する。発生の可能性が低くても起これば甚大な被害が起こると考えられる場合は、インシデント管理に力を入れるべき。と言っていた。賛成ですね。

① 管理者が気になっている部分について、とりあえず対策を考えてみる。簡単なことであれば実施してしまう。
② 全体的なセキュリティ対策を実施するためには時間がかかるので、それは別途考えること。
③ 可能性を言い出したら切が無い。認識しておくことは重要であるが、対策の優先順位は発生の可能性を考えること
④ 発生の可能性が低いにも関わらず事故になった場合の被害が大きい場合は、インシデント管理に力を入れるべき

セキュリティ投資の決断をするということは、極端に言えば、2つの選択肢から一つを選び、一つを捨てることと同じ。右の道を行くか左の道を行くかである。どちらの道を行くか決めなければならない。どちらの道も行くことはできない。言ってからしか分からないことがあるし、考えすぎて立ち止まっているわけにもいかない。


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 米国はやっぱりテロ対策? | Main | セキュリティ投資を考える(6) 米国だって悩んでいる »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/4881112

Listed below are links to weblogs that reference セキュリティ投資を考える(5) 可能性を言い出したら切が無い:

« 米国はやっぱりテロ対策? | Main | セキュリティ投資を考える(6) 米国だって悩んでいる »