なぜセキュリティにも可視化が必要なのか。

はじめまして！
ベルフェイスのセキュリティの中の人の山本です。
今回は、#新年ベルリレー  26日目のコンテンツということで、お話をちょっとだけさせてもらいます。
この記事のタイトルでなんか既視感あるなぁという方は、かなりのジャンクフード好きかもしれないですね(私もジャンクフード大好きです)

また、他のベルフェイス社員もベルリレーで投稿しているので、是非読んでもらえると嬉しいです。

【ベルフェイス公式】28名の有志で繋ぐ！ 2021年の年始め、新年ベルリレーでスタートします。 | Bell-Ship（ベルシップ）

そもそも可視化ってなに？

可視化はよく聞く言葉かもしれないですし、釈迦に説法かもしれませんが、今一度 Wikipedia の引用から再確認したいと思います。

可視化とは、人間が直接「見る」ことのできない現象・事象・関係性を「見る」ことのできるもの（画像・グラフ・図・表など）にすることをいう。
視覚化・可視化情報化・視覚情報化ということもある。
英語の "visualization", "visualize" に相当し、そのままビジュアリゼーション・ビジュアライゼーションと称されることもある。
流れの可視化のように分野や領域に結びついて生まれた呼称も多い。

引用：Wikipedia 「可視化」

Wikipedia にも書いているとおり、可視化とは見ることができない現象・事象・関係性を「見えるようにする」ことです。「見えるようにする」ことによって、原因はなにか？(Why)、何を行うべきか？(What)、どうすべきか？(How)、Howを実行した結果どのような効果があったのか？(Analysis)ということを考えることが可能になります。

セキュリティに可視化が必要な理由

本当はこれだけでもしっかりお話するためには、あと20,000字ほど必要ですが、また別の機会に note に書こうかと思います 笑

セキュリティと一言でまとめてはいますが、現在セキュリティは大きく2つのカテゴリに分かれています。

情報セキュリティ
情報セキュリティは、ISO/IEC 27000シリーズとして策定された情報セキュリティ群で、各会社での ISMS(Information Security Management System) を作るためのベストプラクティスが提供されています。

また ISMS は、リスクマネジメントプロセスを適用することによって、情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えるものです。

サイバーセキュリティ
サイバーセキュリティは、ISMS で定義された情報やデータを悪意ある攻撃から防御するための実践および対策のことを指します。

会社でどんなに ISMS を策定したとしても、策定に対しての対策ができていなかったらそれは絵に書いた餅ですし、重要な情報に対して機密性・完全性・可用性(以下、CIA)が担保されていないことになりますよね。

そのような会社にあなたの情報を預けることはしますか？
しないですよね。

そのため、
　・ どんな情報を持っているのか？
　・ 情報やデータの取り扱いはどう行っているのか？
　・どのように管理しているのか？
　・CIA を担保するためにどのような対策を行っているか？
　・現状はどのようになっているのか？ CIA は担保できているのか？
という問題に対しての証明を行うために、情報管理台帳やシステム構成図、アカウント管理台帳、ログなどの記録物を用いて証拠を提出する必要があります。これは事象を具現化することですよね。可視化ですね。

だからセキュリティも可視化が必要となってくるわけです。

・情報セキュリティ
　　会社としての情報やデータの取り扱いのポリシーのこと
・サイバーセキュリティ
　　情報セキュリティで定められたポリシーに従い対策をうつこと
・情報セキュリティ / サイバーセキュリティ共通
　　情報やデータに対して、機密性・完全性・可用性を維持すること

気づき、打ち手を得るために可視化をやってみよう

今回はセキュリティからの目線で可視化のお話をしましたが、どの状況であっても、皆さんは生活において可視化に関する体験をしていると思います。

例えば、医療であれば、定期的な健康診断を行うことで自分自身の状態が可視化され、必要であれば何かしらの対策という名のアクションを行っているかと思います。

業務であっても、現状の状態から、課題を解決したあるべき姿の状態に持っていくための改善に可視化を用いるかと思います。

繰り返しになりますが、「見えるようにする」ことによって、原因はなにか？(Why)、何を行うべきか？(What)、どうすべきか？(How)、Howを実行した結果どのような効果があったのか？(Analysis)ということを考えることが可能になります。

セキュリティの話がきっかけですが、皆さんも周りのものを可視化してみてください。いろいろな気づきが生まれ、いろいろな発想が生まれると思いますよ。