カンニング作戦
2004年12月5日それではインターネットに接続するにあたっては、セキュリティ対策にはどのような考えをもって取り組むべきでしょうか。
最初にするべきは、セキュリティについての運用方針- セキュリティ・ ポリシー -を決定することです。そもそもインターネットで何をしたいのか、また何をどこまで守るべきなのかがわかっていなければ対策をたてることはできません。企業がインターネットに接続する場合は、プロバイ ダやシステム・インテグレータに相談をする場合が多いと思いますが、その際にこれらの点を明確にしておかないと、的確なアドバイスは得られないでしょう。
たとえば、企業の場合と、大学や研究機関の場合では、インターネット利用に求めるものが全く異なるでしょうから、セキュリティについての考え方も大きく違ってくるのが当然です。ユーザもベンダーも勉強不足ですと、 企業向けの強固すぎるセキュリティ対策を大学で採用してしまい、運用が始まってみるとユーザから不満が出て慌てることになったりします。
その際に理解しておくべき基本は、セキュリティと利便性は二律背反であるという事です。泥棒を防ぐために家に鍵を3つ4つと付ければ安全性はたしかに増しますが、出入りするための手間は面倒になります。インターネットの安全も、
セキュリティ×使い易さ=コスト(技術)
の公式であらわせるように、セキュリティと使い易さの両方を完全に満足させる事はできません。使い易さが損なわれる部分があるという点をきちんと評価して利用者にも納得してもらう必要があります。
先の公式の右辺は一定値ではないのは、コストをかければ、ある程度は安全性と利便性を両立させる事ができることを意味しています。この場合のコストには、セキュリティ対策に必要なハードウェア・ソフトウェアのような直接的なコストだけでなく、組織内でのセキュリティのマネージャの育成や教育啓蒙活動などの間接的な要素も含んでいます。むしろ長期的には後者のほうが大きくなるかもしれません。
以上のような点に配慮して、その時点で最善と思われるセキュリティ対策を導入したとしても、残念ながらバグのないソフトウェアはないように完璧なセキュリティ対策もありません。侵入者の手口が高度化して新たなセキュリティ上の問題が生じたり、運用上の齟齬で問題がおこったりします。 セキュリティを保つためには、継続的に努力を続ける必要があります。
最初にするべきは、セキュリティについての運用方針- セキュリティ・ ポリシー -を決定することです。そもそもインターネットで何をしたいのか、また何をどこまで守るべきなのかがわかっていなければ対策をたてることはできません。企業がインターネットに接続する場合は、プロバイ ダやシステム・インテグレータに相談をする場合が多いと思いますが、その際にこれらの点を明確にしておかないと、的確なアドバイスは得られないでしょう。
たとえば、企業の場合と、大学や研究機関の場合では、インターネット利用に求めるものが全く異なるでしょうから、セキュリティについての考え方も大きく違ってくるのが当然です。ユーザもベンダーも勉強不足ですと、 企業向けの強固すぎるセキュリティ対策を大学で採用してしまい、運用が始まってみるとユーザから不満が出て慌てることになったりします。
その際に理解しておくべき基本は、セキュリティと利便性は二律背反であるという事です。泥棒を防ぐために家に鍵を3つ4つと付ければ安全性はたしかに増しますが、出入りするための手間は面倒になります。インターネットの安全も、
セキュリティ×使い易さ=コスト(技術)
の公式であらわせるように、セキュリティと使い易さの両方を完全に満足させる事はできません。使い易さが損なわれる部分があるという点をきちんと評価して利用者にも納得してもらう必要があります。
先の公式の右辺は一定値ではないのは、コストをかければ、ある程度は安全性と利便性を両立させる事ができることを意味しています。この場合のコストには、セキュリティ対策に必要なハードウェア・ソフトウェアのような直接的なコストだけでなく、組織内でのセキュリティのマネージャの育成や教育啓蒙活動などの間接的な要素も含んでいます。むしろ長期的には後者のほうが大きくなるかもしれません。
以上のような点に配慮して、その時点で最善と思われるセキュリティ対策を導入したとしても、残念ながらバグのないソフトウェアはないように完璧なセキュリティ対策もありません。侵入者の手口が高度化して新たなセキュリティ上の問題が生じたり、運用上の齟齬で問題がおこったりします。 セキュリティを保つためには、継続的に努力を続ける必要があります。
コメント