何を守るべきか
前回は、情報システムのセキュリティは「目に見えない」ゆえに難しい。という話をしました。そして、「目標」と「脅威」を決めることがセキュリティの第一歩になるという事を説明しました。

今回は、具体的な「目標」と「脅威」の設定の仕方について考察してみたいと思います。例によって、gdgdです。

まず、「脅威」ですが、現実世界には、ありとあらゆる脅威が存在しているため、それらの全てを防御するのは効率的ではありません。「某国の弾道ロケットの被弾」を想定したセキュリティを構築必要があるシステムは、限られているでしょう。

情報システムが、守らなければならない「目標」は、「情報」です。ハードウェアや施設は、「情報」を保持・利用するための手段に過ぎません。コアとなる「目標」は「情報」と言うことになると思います。
情報システムを広義に捕らえると「業務」と言う結論が出るかもしれませんが、これは企業として取り組むべき問題であり、議論が発散してしまうので今回は取り上げません。とはいえ、「業務→情報」と言う明確なピラミッド構造が確実に存在するはずですので、完全に無視。という訳には行きませんが。

脅威となるもの
「情報」にとって、何が脅威となるのでしょうか。少し考えて見ます。(うーん)

情報の凍結
情報の破壊
情報の漏洩
情報の改ざん

ぐらいでしょうか。