セキュリティ屋としての個人的考え
まず、バズワードには当たるものと当たらないものがある。
業界に長くいるとわかるが消えていったワードも色々ある。
今回は当たったけど適切に理解している人が少ないと思う。
NIST SP800シリーズに定義はされたが読んでも読んでも、定義は難解で「結局信頼するなってことでしょ」と思っていたがやっぱりその通りだと今回の記事で確信した。
大事なのは「物事はシンプルに」と言うこと。
ややこしくすればするほど実効性がなくなり、理解が進まなくなる。
定義のどこそこにこう書いてあるから、とか、どこそこの規定のあそこで規定されてるから、とか各論を言い出す人が多いが、元々の目的を考えてみればよくわかる。
機密性と完全性と可用性(とケース次第でもう少しあるが)を保ちつつ効率的に情報資産を活用するバランスをとる。
これが目的であり、機密性ばっか言う人いるが、それならスマホとPC捨てればいいけどそれはセキュリティの一部分しか考えてないと自白しているようなものだ。
いかに効率的に使うかのバランスが大事。