セキュリティ対策は、悪意のある者対策より善意の人対策のほうが重要

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin

【これは約 2 分の記事です】

情報セキュリティ対策として、アクセス制限とか漏洩防止対策のお話をさせていただくと、お客様は

  • 悪い考えを持った人の対策になりますか
  • うちで働く人でそんな悪い考えを持った人はいないからそんなことしなくていい

みたいな感じのことをおっしゃられます。情報セキュリティを「悪意を持った人対策」みたいに考えておられる方が多いのですが、セキュリティ対策で先に考えるのは

  • 善意の人が誤って間違ったことをしない
  • 善意の人が加害者にならない

対策です。そのためにネットワーク区画のアクセス制限をして、みだりに他の情報にアクセスしたり無制限のインターネット通信をしたりしないとか、データベースの設定で権限のグループ分けをしたりパスワードを掛けたページを作ったりします。

悪意のある人

への対策は正直難しく、こちらが対策を想定するのはいたちごっこになって切りがありません。

ですが、善意の人が間違ったことをしないようにするのは、コストと利便性にさえ注意すれば、対策は難しくありません。

数少ない悪意のある人対策にコストを掛けるより、大多数を占める善意の人対策をするほうが、圧倒的にコストパフォーマンスが良いのです。

ということで、私がセキュリティ対策を提案しているときは、不正をしようとしている人対策よりも、普通の人が誤って(あるいは意図せずして)不正をしてしまう環境を正す対策を提案していると思っていただけると幸いです。

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin