セキュリティを教える人に知ってほしい 基本が詰まった1冊Security&Trust ウォッチ(46)

» 2007年05月09日 10時00分 公開
[上野宣@IT]
※本記事はアフィリエイトプログラムによる収益を得ています

「セキュリティ」を教える難しさ

 このコラムを読んでいる方は、後輩や同僚にセキュリティの大切さを教えなければならない立場であるという人が多いのではないでしょうか。

 伝える対象となる人々がセキュリティの重要性に気付いていなかったり、コンピュータやインターネットに関しても利用するだけでよく知らないといった場合、以下の点に注意して伝えるとよいでしょう。

  • セキュリティの技術ではなく、セキュリティの力(リテラシ)を身に付けてもらう
  • セキュリティがなぜ破られるのかを教え、自分も対策側にいることを知ってもらう
  • セキュリティを知らない人、興味のない人にも伝わるように表現する

今回紹介する『セキュリティはなぜ破られるのか』という本は、セキュリティの知識を身に付けた人が読むと、あまりにも簡単な内容に感じてしまうことでしょう。しかし、簡単だと感じてしまう人にこそ、ここから取り入れて学んでほしいことがあります。

セキュリティの本質を知り、生活の知恵として消化させる

 現在のセキュリティ教育は、セキュリティ技術の教育に偏重する傾向にあります。「このツールを入れろ」とか「この設定はこうだ」とか、そういう話に偏りがちです。もう1歩進んだとしても、「このように運用しなければならない」とか、「こういうところに注意しよう」といったセキュリティ運用の話までです。

 内容によっては技術から教えた方が分かりやすいこともありますが、情報セキュリティでは覚えなければならない技術の分野は幅広いものになり、理解しなければならない理屈も増えてしまいます。情報セキュリティの分野は技術の進歩が早く、技術ベースの教育では追いつかないのです。

 例えば、情報セキュリティ関係の資格の1つに「情報システム・セキュリティ・プロフェッショナル認定資格(CISSP)」というものがあり、この試験には次の10分野があります。

  1. 情報セキュリティマネジメント
  2. エンタープライズ・セキュリティアーキテクチャ
  3. アクセス制御のシステムと方法論
  4. アプリケーションセキュリティ
  5. 運用セキュリティ
  6. 暗号学
  7. 通信・ネットワーク・インターネットのセキュリティ
  8. 物理セキュリティ
  9. 事業継続計画
  10. 法・捜査・倫理

 情報セキュリティ管理を本業としない人々に、これらの分野を熟知させる必要はありません。しかし理論や技術から学ぶならば、これらの分野をバランスよく習得する必要があります。それを多くの人に求めるのは難しいことでしょう。また、最新技術の知識もすぐ陳腐化してしまいます。

 そういったことから一般向けには、情報セキュリティの基本理論を身に付ける方が役に立ちます。個人のレベルでセキュリティの力を身に付けるためには、セキュリティの本質的な構造を知り、それを生活の知恵として消化させることが必要になるのです。

 本書は、そういった基本の力を身に付けることに注力し、10年使えるセキュリティの考え方の習得を目的としています。

「セキュリティはなぜ破られるのか」という3つの原則

 「セキュリティは専門家やソフトウェアがやる仕事であり、利用者である自分たちには関係がないことだ」と思っている人々は少なくはないでしょう。そういった人々に対策しなければならない側にいるという意識を持ってもらうためには、セキュリティがなぜ破られるのかといったことを知ってもらう必要があります。

 世の中にも、身の回りにも、セキュリティ対策や活動はあふれているにもかかわらず、現実にはセキュリティインシデントは発生し続けています。なぜ、これらの事故が起こってしまうのかということを、次の「セキュリティはなぜ破られるのか」という3つの原則として表しています。

  • 境界線にほころび(脆弱性)がある場合
  • 境界線の内側に異分子が存在した場合
  • セキュリティを考えるうえで最弱のパーツは人間である

 この原則を知ることで、「セキュリティが破られてしまう原因となる脆弱性や異分子は、システムよりも人間にあることが多い」ということを伝えようとしています。各個人のセキュリティの力を向上させ、安全か危険かを判断する力を身に付けてもらうことが必要なのです。

セキュリティを知らなかったころの感覚を思い出す

 情報セキュリティの分野に限らず、組織内外を問わず、他人に何かを伝えようとする人や、啓もうしようとする人は貴重な存在だと思います。そして、これらの人々は、伝える手段として何らかのドキュメントを残します。

 しかし残念なことに、そのドキュメントは対象読者の知識レベルに合わせることを忘れたのか、難解な専門用語が並んでいたり、複雑な文章だったりすることもあります。きっと、本来の対象読者は途中で振り落とされていることでしょう。せっかく書かれた内容が理解されておらず、残念な結果に終わっているのです。

 どういった内容であれドキュメントを書くことは、必要な情報を詰め込むだけでそれなりの労力が必要になります。ですが、せっかく労力をかけるのであれば、あと一手間加えて対象読者に伝えることも考えてみてはいかがでしょうか。

 例えば、対象読者が普段使っている言葉に直したり、“分かりやすい”図解で示すといったことが効果的です。その一手間があるだけでそのドキュメントは手に取られるようになり、書き手の意図が伝わる可能性も高まります。

 本書では、“セキュリティ”とは何かということや、それをどうしなければならないのか、“リスク”“資産”“脅威”“脆弱性”といった基本的なことから教えてくれます。本書の約3分の1はこれらの説明にページを割いています。そして、もう3分の1を使って識別や認証、権限管理、ネットワークや暗号などの“セキュリティを構築する仕組み”を説明し、残りの3分の1でセキュリティはなぜ破られるのかということをまとめています。

 専門的な知識を普段から使っていたり、周りが専門家ばかりの環境にいると、どのあたりがほかの人々が知らないことなのかということに気が付きにくいかもしれません。本書を参考にすることで、セキュリティを知らなかったころの感覚を思い出して、後輩や同僚の教育に取り入れてみてはいかがでしょうか。

Profile

上野 宣(うえの せん)

株式会社トライコーダ代表取締役

ネットワーク・セキュリティ監査、セキュリティ対策・運用改善コンサルティングを主な業務としている。

情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。