2023年9月22日

NECサイバーセキュリティ戦略統括部セキュリティ技術センターの宮崎です。今回のブログでは情報セキュリティとは何のためにあるのかを示します。そして、そこから情報セキュリティにどのような姿勢で取り組めばよいかについても記します。
昨今、サイバー攻撃などのセキュリティインシデントがニュースで取り上げられることが多くなり、情報セキュリティはより身近な存在になっています。それに伴い、組織は情報セキュリティに適切に取り組むよう社会から求められています。
このとき、組織は様々なガイドラインで示されているような個別の情報セキュリティ対策に注目してしまい、そもそも情報セキュリティというものは組織にとって何のためにあり、どういう位置づけなのか、という整理ができていないのではないかと感じています。
そこで本ブログでは情報セキュリティとは何のためにあるのかを整理し、組織が情報セキュリティにどのような姿勢で取り組めばよいかを情報セキュリティの原則の概要を説明した資料であるNIST SP 800-12 Rev. 1 An Introduction to Information Security (以下、NIST12) [1] を参考に記します。

なぜ情報セキュリティが注目されているのか

大前提の話にはなりますが、なぜ情報セキュリティに取り組む必要性が注目されているかを考えます。
NIST12より引用します。

Organizations rely heavily on the use of information technology (IT) products and services to run their day-to-day activities. Ensuring the security of these products and services is of the utmost importance for the success of the organization.

(筆者訳: 組織は日常業務を行うのにITの製品やサービスに大きく依存しています。これらの製品やサービスのセキュリティを確保することは、組織が成功するために最も重要です。)

情報セキュリティが注目されているのは、社会全体でIT製品やサービスへの依存の度合いが高まってきているからです。新型コロナウイルスによるリモートワークの広がりなど、社会的にIT化はより増しており、今後もIT化は進んでいくと考えられます。IT化が進むことに伴い、情報セキュリティが注目されているということになります。

情報セキュリティとは何のためにあり、どう向き合えばよいか

NIST12に情報セキュリティが何のためにあり、どう取り組めばよいかについて参考となる文章があったので引用します。

An organization's inability to select and implement appropriate security rules and procedures is likely to have a negative impact on the mission of the organization. However, well-chosen security rules and procedures that are put in place to protect important assets support the overall organizational mission. In today's environment of malicious code, system breaches, and insider threats, publicized security issues can have dire consequences, especially to profitability and to the reputation of the organization. Private and public-sector organizations improve both profit and service to customers when appropriate security protections are in place. Information security, therefore, is a means to an end and not an end in itself.

(筆者訳: 組織が適切なセキュリティのルールと手段を選択・実装できないと、組織の目的にとって悪影響となる可能性があります。一方で、重要な資産を保護するためにセキュリティのルールと手段の適切な選択は、組織全体の目的をサポートします。悪意のあるコード・システム侵害・内部犯の脅威がある現在の環境では、セキュリティの問題が公になると、特に収益性や組織の評判に悲惨な結果をもたらす場合があります。適切なセキュリティ対策が導入されていれば、民間・公共部門の組織は利益と顧客へのサービスの両方を向上できます。したがって、情報セキュリティは目的を達成するための手段であり、それ自体は目的ではありません。)

この文章を情報セキュリティが何のためにあるか・情報セキュリティにどう取り組めばよいかの観点で整理して考えます。

情報セキュリティとは何のためにあるのか

先ほどの文章から、情報セキュリティが何のためにあるかについて参考となる部分を改めて引用します。

An organization's inability to select and implement appropriate security rules and procedures is likely to have a negative impact on the mission of the organization. However, well-chosen security rules and procedures that are put in place to protect important assets support the overall organizational mission.
(筆者訳: 組織が適切なセキュリティのルールと手段を選択・実装できないと、組織の目的にとって悪影響となる可能性があります。一方で、重要な資産を保護するためにセキュリティのルールと手段の適切な選択は、組織全体の目的をサポートします。)

Information security, therefore, is a means to an end and not an end in itself.
(筆者訳: したがって、情報セキュリティは目的を達成するための手段であり、それ自体は目的ではありません。)

情報セキュリティが何のためにあるかというと、組織の目的達成をサポートするためにあるということです。言い換えると、情報セキュリティによって組織の目的達成を阻害するようなことがあってはなりません。情報セキュリティは目的を達成するための手段とある通り、組織の目的達成を第一に考えるということなります。

ここで、私の過去のセキュリティブログ[2]でも、セキュリティのプロフェッショナルに求められる心得としてこれに近いことを書いていたので、比較して情報セキュリティが何のためにあるかを検討してみます。
セキュリティブログからセキュリティのプロフェッショナルに求められている役割について考察している部分を引用します。

「社会を保護する」の意味するところは「社会が発展しようとしているときに、安定して発展できるようにする」ということだと考えています。

情報セキュリティが何のためにあるのかと、セキュリティのプロフェッショナルの役割を整理すると、「情報セキュリティは組織の目的達成をサポートするためにあり、セキュリティのプロフェッショナルはそれを実施をする人」とすることができます。

過去のセキュリティブログではISC2と情報処理安全確保支援士の倫理要綱を参考にしていましたが、NIST12で示されている情報セキュリティの目的と整合性が取れています。

情報セキュリティにどう向き合えばよいのか

先ほどの文章から、情報セキュリティにどう取り組めばよいかについて参考となる部分を改めて引用します。

In today's environment of malicious code, system breaches, and insider threats, publicized security issues can have dire consequences, especially to profitability and to the reputation of the organization. Private and public-sector organizations improve both profit and service to customers when appropriate security protections are in place.

(筆者訳: 悪意のあるコード・システム侵害・内部犯の脅威がある現在の環境では、セキュリティの問題が公になると、特に収益性や組織の評判に悲惨な結果をもたらす場合があります。適切なセキュリティ対策が導入されていれば、民間・公共部門の組織は利益と顧客へのサービスの両方を向上できます。)

ポイントとなるのは「適切なセキュリティのルールと手段を選択・実装する」だと思います。これはセキュリティ対策に過不足が無くちょうどよい状態になった時、情報セキュリティが組織の目的を良くサポートしている状態になるということだと思います。
例えば、過剰なセキュリティ対策でコストが増えすぎたり、逆にセキュリティ対策が不十分でセキュリティの問題を引き起こすと、組織の収益や評判に悪影響を及ぼして組織の目的を阻害することになります。

したがって、情報セキュリティへの取り組み方としては、組織の事業目的に沿ったITシステムを安定して展開できるように、ちょうどよいセキュリティ対策を目指すということになります。そしてそれが収益や顧客への新たなサービス提供につながります。

まとめ

ブログの執筆中、「自動販売機のセキュリティ対策に警備員を置くようなことはしない」というセキュリティの考え方を表す例を見かけたことを思い出しました。これは「警備員を置くとコストがかかりすぎて赤字になるため、セキュリティ対策として不適切」ということを表しています。言い換えると、セキュリティ対策が自動販売機の事業を成功させるという組織の目的を、収益性の観点で阻害しているので不適切ということになります。

組織の目的をサポートするという観点で、どう情報セキュリティに取り組むとよさそうかということを忘れず、これからもセキュリティに取り組みたいと思いました。

本ブログが少しでもみなさんの役に立ち、安全・安心な社会に少しでも寄与することを願っています。

参考

執筆者の他の記事を読む