セキュリティのトレードオフ問題を考える | ScanNetSecurity
2024.06.22(土)

セキュリティのトレードオフ問題を考える

●トレードオフ、どちらに比重を置くか?

特集 特集
●トレードオフ、どちらに比重を置くか?

 企業におけるセキュリティ問題はビジネスの一部であり、そこには相反する問題が発生する。この「トレードオフ」(二律背反)問題は、セキュリティ対策のレベル設定に対するセキュリティ対策にかかるコストの問題、対策によって損なわれる利便性、システムの安定性の問題である。
 本稿では、「ネットワーク・エクスポージャ・マネジメント」という考え方について説明する。この考え方は、企業のネットワークシステムにおけるトレードオフ問題を解決する手助けになるはずだ。


●どこまで対応すればよいのか

 ビジネスの一部としてセキュリティ問題を考えた場合、「どこまで対応すればよいのか」というセキュリティ対策のレベル設定が大きな問題となる。安全性を重視しすぎ、過度なセキュリティ対策を行うと「コスト・利便性・安定性」が損なわれてしまう。逆に「コスト・利便性・安定性」を重視するとセキュリティが損なわれるおそれがある。セキュリティとコスト・利便性・安定性のどちらを重視すればよいかというバランスが取れず、どのレベルでセキュリティ対策を行えばいいのかわからない。これがセキュリティにおける「トレードオフ」問題である。


○トレードオフを決定するには判断基準が必要

 コストや利便性、システムの安定性が損なわれないかを考慮しながら、必要なセキュリティ対策をタイムリーに実施する。この「意志決定」を行うには、判断基準となる自システムの「情報」が必要となる。自分たちのシステムがどのような状況にあり、どのくらいの危険度があるのかをセキュリティという側面から情報を収集し提示する。これは企業システムのセキュリティ運用者に求められる重要な責務だ。ネットワーク犯罪の被害に遭ったシステムの多くは大きな被害を被っている。その理由は、セキュリティ対策を行ううえで、どこまで対応すべきかが決定できず、適切な措置を行えなかったためである。セキュリティレベルを「どこまで対応すればよいのか」決定するための判断基準を明確にすることは、企業のネットワークにおいて非常に重要なことなのだ。


●ネットワーク・エクスポージャ・マネジメントという考え方

 包括的な判断を行うためには情報が必要だ。では、企業のネットワークにおけるセキュリティ面での判断基準となる情報を得るためにはどうしたらよいか。どのような考え方によってそれを実現するべきかということになる。

 このような問いに対して、米国のnCircle NETWORK SECURITY社(以下、nCircle社)では、「ネットワーク・エクスポージャ・マネジメント」という考え方を示し、それを実現するために「IP360」という製品を提供している。

(執筆:吉澤亨史)

※本記事は、翔泳社発行の「セキュリティマガジン 4月号」に掲載されたものを元に、著者である京セラコミュニケーションシステム株式会社( http://www.kccs.co.jp/ )の郷間佳市郎 氏および翔泳社の許諾を得てリライトしております。


(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  4. セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨

    セキュリティ企業の セキュリティ企業による セキュリティ企業のための投資ファンド ~ GSX 青柳史郎が語る「日本サイバーセキュリティファンド」設立趣旨PR

  5. 横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

    横浜国立大学 学生間でメールアドレスが閲覧可能に 1万人利用可のクラウドサービスで

  6. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  7. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのはおまえらでは

  8. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  9. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  10. 日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

    日本の CISO の 66%「ヒューマンエラーは最大のサイバー脆弱性」 ~ プルーフポイント「CISO意識調査レポート 2024」

ランキングをもっと見る