IT系資格取得と将棋のブログ

資格をいくつか取得しているSEの日記です。資格試験と趣味について書いていきます。

セキュリティのリスクの考えについての基礎の基礎

昨日は疲れてたのか、姉妹ブログ書いて一息ついたら眠ってました…。

まぁ先週は仕事もきつかったのと、なんか定額給付金とかの書類が届いて処理してたりで結構忙しかったからな。

 

 

でも久しぶりにウォーズを消化せずに寝ちゃったな。代わりに今日洗濯してる間に24で3局指しちゃったけど(笑)

 

で、今日は昔の本ですが、情報セキュリティアドミニストレーター合格教本を少し読んでいます。

 

個人的には、ネットワークとかが苦手分野なので、そこら辺も概略が載ってるので分かりやすくて時々読んでます。

 

このなかで、セキュリティのリスクについての説明があるのですが、意外とこの辺をあいまいなまま、良くないと判断してる人が開発者の中にも多い印象なので基礎の基礎だけ、簡単に紹介しておこうかと思います。

 

まず、リスクというのは、次の3つがそろった時に発生します。

 

 ①情報資産:情報セキュリティの中で守りたいもの。

       最近だと顧客情報だとか、社外秘のファイルですね。

       個人だとパスワードや暗証番号を書いたメモのファイルとかになるでしょうか?

 

 ②脅威:情報資産を脅かすもの。

       例えば、社外秘のファイルを見ようとする悪意を持った人とか、

       人のパスワードを盗みたいという人。

       あとパソコンだとウィルスもありますね。

       ただ、脅威というのは①の情報資産によって変わりますね。

       分かりやすい例だと、紙のメモなら火の気も脅威になったりします。

 

 ③脆弱性:リスクを顕在化させる状況のこと。

       例えば、紙のそばに火がある状態をよく例に挙げられています。

       あとは、パソコンに対してパスワードをかけていなければ、

       悪意を持ったい人が見放題ですね。

 

③の脆弱性ですが、普通に使っていても問題となる可能性があるセキュリティの穴については、定期的にパッチが出ていて更新することで塞いでますね。

 

で、リスクの考え方は、

  リスク = ①情報資産 + ②脅威 + ③脆弱性

となります。

 例えば、②脅威として、誰かのパスワードを知りたい人が居ても、そもそも①情報資産となるパスワードをメモしてなかったり、パソコンに残してなければ覗きようがないですね。

また、メモをファイルとして残していても、パスワードを書けていたり、中身を暗号化していることで、③脆弱性が無い場合も、覗きようがないです。

 

良くたとえられる、書類と火なのですが、①情報資産を書類、②脅威を火としますと、それが近くにあることが③の脆弱性です。

 書類が有っても近くに火の気がなければ燃えることは無いですし、火だけあって、燃える書類が無くても燃えることはありません。

 この場合は、書類と火が近くにある、という脆弱性があって、初めて顕在化します。

 

最初読んだときに、当たり前のことなんだけど、極力全部防ごうと考えていたので、目から鱗でした。

セキュリティへの対応は必要な場合が多いですが、対策はコストになります。

なので自分としては、そもそもどこまで対応しておく必要があるのかの判断基準の一つにしています。

 

ここら辺の考えは、意外と教えてくれる人が少ないので、実務でも役立ちますね。

とりあえず、秋試験はITストラテジストを受験する予定ですが、全体的な基礎を知っておくのは業務上意味があるので、期間があるのでちょっと全体的な知識のインプットを進めておこうかと思います。

ただ、秋試験は実施されるという前提で、そろそろ秋試験の準備もしたいところですね(*´ω`*)

 

このまま新型コロナが落ち着いてくれることを祈っておきます。