＜曖昧なセキュリティとは？たまにはCISSPの知識を実践に！＞

 

皆さんは「曖昧なセキュリティ」って言葉を聞いたことがありますか？

ちなみに、僕はCISSP試験の勉強をするまで全く聞いたことがありませんでした。しかも、今でもこの「曖昧なセキュリティ」という言葉が一般的なのか、定義があるのかもよく分かっていません・・・涙

但し、この言葉が言わんとすることは理解できており、それはCISSP試験はもちろん、普段のセキュリティ業務では特に有益な考え方だと感じています。今日はそんな「曖昧なセキュリティ」について簡潔にご紹介していこうと思います(*^-^*)

 

はじめに、「曖昧なセキュリティ」とは何か？定義してしまいたいと思います。

ズバリ！

・曖昧なセキュリティ＝よく考えると理にかなっていないのに、盲目的に対策ができている。ことになっているセキュリティ施策

 

あまりピンとこないですかね・・・（文章力が足りていないことが書きながら理解できており辛い！！笑）

ですので、具体的な例を1つ挙げます。

例えば、

 

・業界トップのA社は昨今のサイバー攻撃リスクの高まりからセキュリティアセスメントを行った上で数年前から「セキュリティ施策XYZ」を導入している。B社も、A社と同様に「セキュリティ施策XYZ」の導入を行っているので、この側面での対策はできていると考えている。

 

みたいな感じで行われるセキュリティ施策が「曖昧なセキュリティ」に該当します。

言うまでもなく、A社がいかに優れたセキュリティ施策を導入していても、それはB社とは全く関係ありません。ただこの例では、「業界トップのあの会社がやっているセキュリティ施策であること」＝「高いセキュリティレベルの施策」であるかのような文脈で使われています。ここが「曖昧なセキュリティ」です( ｀ー´)ノ

ただ日々のセキュリティ業務で、こんな話良く聞きますよね。

他にも・・・

「ゼロトラストなセキュリティ対策をしていると良い」

「セキュリティは人が大事だから年数回、セキュリティ勉強会を開催している。これによりセキュリティレベルを底上げしている」

みたいな話を良く聞きますが、それって本当にそう言えるんでしたっけ？と思うことは多々あります。

CISSP的には、このような「曖昧なセキュリティ」は当然避けるべきであり、可能な限り確からしさを向上させる必要性があると考えます。具体的には、セキュリティモデルを組織で構築したり、セキュリティフレームワークを活用したり、体制を作ったりすることで、確からしさの向上を目指します。

（「確実」という事はあり得ないので、自分達にとって可能な限り効果が確からしい施策を選択・実行し、評価をし、改善していく）

 

皆様が、普段のセキュリティ業務で今回挙げたような例に直面した際、

「あ？もしかして曖昧なセキュリティかな？」と思って頂き、「それって本当に論理的で理にかなっているか？」を考えて頂くことで本質的に効果の高い施策を検討するきっかけになれば幸いです。

 

今回は以上です！最後までありがとうございました！

 

（先日、鰻串を食べました。最近、何かと鰻と縁があるようです。今度は自分で釣った鰻で串を作りたいな～と思います。）