見出し画像

第2話 セキュリティ桶の理論

吉田 晋 情報処理安全確保支援士(登録025036号)

一番脆弱なところで事故が発生する理由

自社に起きるかもしれない情報漏洩事故を事前に予測する手法がある。それは「セキュリティ桶の理論」に基づく。

「セキュリティ桶の理論」とは桶に溜まる水のように、セキュリティは一番弱いところから破られるという理論だ。

画像1

不正アクセスや内部不正のように故意による情報盗取や、紛失や誤操作のように故意ではない情報漏洩事故にしろ、私達の会社は全方位で情報漏洩のリスクに晒されている。

このためセキュリティ対策が一番脆弱な箇所(桶が一番低いところ)で、確率的に情報漏洩事故が起きやすいと言える。

対策したつもりでも脆弱性は変わらず

桶の理論でバランス良くセキュリティ対策が実施されていないと、せっかくのセキュリティ投資の費用が無駄なる可能性がある。

画像2

弱いところを放置したまま、充分強度のあるところをさらに補強しても、費用対効果は薄い。情報漏洩事故のリスクは実はほとんど変わらない。

完全じゃなくても意味がある

またセキュリティ対策は万全ではないと意味がないとする論法も世の中にある。しかし桶の理論では、周囲とレベルが合うレベルになるのであれば、充分効果があると考えられる。

画像3

「万全完璧でなければやる意味がない」のではなく「他のセキュリティ対策合うレベル」を目指して実施するセキュリティ対策が、最も費用対効果があると言える。

桶の理論をチャート化する

ゼロトラストFTAはこの「セキュリティ桶の理論」を実際にチャートとして図示化する手法だ。これにより自社のセキュリティ対策のどこが一番脆弱であるかを数値として知ることが出来る

画像4


まとめ

・情報漏洩は一番脆弱なところで起きる確率が高い。
・セキュリティ対策は脆弱なところから対策するべき。
・セキュリティ対策は完全じゃなくても良い。レベル合わせが重要。
・ゼロトラストFTAは「セキュリティの桶」をチャート図示化する。

【2021年版】ゼロトラストFTAガイドブック(無料)こちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願います。

この記事が気に入ったらサポートをしてみませんか?