セキュリティのトレードオフ問題を考える | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.07.22(月)

セキュリティのトレードオフ問題を考える

●トレードオフ、どちらに比重を置くか?

特集 特集
●トレードオフ、どちらに比重を置くか?

 企業におけるセキュリティ問題はビジネスの一部であり、そこには相反する問題が発生する。この「トレードオフ」(二律背反)問題は、セキュリティ対策のレベル設定に対するセキュリティ対策にかかるコストの問題、対策によって損なわれる利便性、システムの安定性の問題である。
 本稿では、「ネットワーク・エクスポージャ・マネジメント」という考え方について説明する。この考え方は、企業のネットワークシステムにおけるトレードオフ問題を解決する手助けになるはずだ。


●どこまで対応すればよいのか

 ビジネスの一部としてセキュリティ問題を考えた場合、「どこまで対応すればよいのか」というセキュリティ対策のレベル設定が大きな問題となる。安全性を重視しすぎ、過度なセキュリティ対策を行うと「コスト・利便性・安定性」が損なわれてしまう。逆に「コスト・利便性・安定性」を重視するとセキュリティが損なわれるおそれがある。セキュリティとコスト・利便性・安定性のどちらを重視すればよいかというバランスが取れず、どのレベルでセキュリティ対策を行えばいいのかわからない。これがセキュリティにおける「トレードオフ」問題である。


○トレードオフを決定するには判断基準が必要

 コストや利便性、システムの安定性が損なわれないかを考慮しながら、必要なセキュリティ対策をタイムリーに実施する。この「意志決定」を行うには、判断基準となる自システムの「情報」が必要となる。自分たちのシステムがどのような状況にあり、どのくらいの危険度があるのかをセキュリティという側面から情報を収集し提示する。これは企業システムのセキュリティ運用者に求められる重要な責務だ。ネットワーク犯罪の被害に遭ったシステムの多くは大きな被害を被っている。その理由は、セキュリティ対策を行ううえで、どこまで対応すべきかが決定できず、適切な措置を行えなかったためである。セキュリティレベルを「どこまで対応すればよいのか」決定するための判断基準を明確にすることは、企業のネットワークにおいて非常に重要なことなのだ。


●ネットワーク・エクスポージャ・マネジメントという考え方

 包括的な判断を行うためには情報が必要だ。では、企業のネットワークにおけるセキュリティ面での判断基準となる情報を得るためにはどうしたらよいか。どのような考え方によってそれを実現するべきかということになる。

 このような問いに対して、米国のnCircle NETWORK SECURITY社(以下、nCircle社)では、「ネットワーク・エクスポージャ・マネジメント」という考え方を示し、それを実現するために「IP360」という製品を提供している。

(執筆:吉澤亨史)

※本記事は、翔泳社発行の「セキュリティマガジン 4月号」に掲載されたものを元に、著者である京セラコミュニケーションシステム株式会社( http://www.kccs.co.jp/ )の郷間佳市郎 氏および翔泳社の許諾を得てリライトしております。


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

    経営トップダウンで先手を打つ海外、事故が起こってから後手後手の日本:企業セキュリティ実態調査(NRIセキュア)

  2. 大学教員が前職都立高校在籍時に作成したMLへメール送信(明海大学)

    大学教員が前職都立高校在籍時に作成したMLへメール送信(明海大学)

  3. BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

    BEC(ビジネスメール詐欺)対策ポイントを2つの代表的被害事例から学ぶ

  4. EDRの運用サービスに「Trend Micro Apex One」を追加(SBT、トレンドマイクロ)

    EDRの運用サービスに「Trend Micro Apex One」を追加(SBT、トレンドマイクロ)

  5. 圧着不十分で「口座振替のお知らせ」ハガキ内容漏えいの可能性(オガワエコノス)

    圧着不十分で「口座振替のお知らせ」ハガキ内容漏えいの可能性(オガワエコノス)

  6. 「やさしいドアWEBサイト」へ不正アクセス、サイトの一部が改ざん(コマニー)

    「やさしいドアWEBサイト」へ不正アクセス、サイトの一部が改ざん(コマニー)

  7. 市立図書館システム構築時のテスト用メールアカウントに不正アクセス(小松島市)

    市立図書館システム構築時のテスト用メールアカウントに不正アクセス(小松島市)

  8. WordPress用「Category Specific RSS feed Subscription」に脆弱性(JVN)

    WordPress用「Category Specific RSS feed Subscription」に脆弱性(JVN)

  9. 仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

    仮想通貨の不正流出、ホットウォレットの秘密鍵が窃取された可能性(リミックスポイント、ビットポイントジャパン)

  10. 「Oracle Solaris」に任意コード実行の脆弱性(JVN)

    「Oracle Solaris」に任意コード実行の脆弱性(JVN)

ランキングをもっと見る