« 中国:世界一の違法コピー生産国 | トップページ | IPA:Adobe Flash Player の脆弱性(APSB10-26)について »

2010年11月 8日 (月曜日)

M&Aはセキュリティポリシーに混乱を発生させ情報セキュリティのレベルを低下させる

下記の記事が出ている。

 M&A Activity Muddles Database Security
 dark READING: 11 05, 2010
 http://www.darkreading.com/database_security/security/app-security/showArticle.jhtml?articleID=228200315

パブリッククラウドの場合と同様,異なるセキュリティポリシーが混在する場合,どれかを優先しなければならないから,奇妙な現象が発生することになる。当然のことなのだが,現行のISMSは,情報セキュリティの運用主体が実質的に変更になり,相互に矛盾するセキュリティポリシーが混在してしまうような場合を想定しない。経済と情報セキュリティの不一致とでもいうべき事態と理解すべきだろう。

経済の目から見た場合,情報セキュリティのためのポリシーは,ある日突然,全く合理性なしに変更されたり消滅させられたりすることを前提に設計されなければならない。これは,国のセキュリティポリシーでも同じで,政権が交代したとたんに以前のポリシーが否定されてしまうことはあり得る。

要するに,ある程度長い期間継続するものとしてポリシーを設計してはならないということになる。最悪の場合,明日には他の企業に買収されて反故にされてしまうかもしれないということを常に念頭に置いて設計・運用されるべきものということになるだろう。

企業の業績が好調な場合でも,新製品の開発サイクルが非常に短くなっているし,それに伴い業務態様も変化してしまうので,企業活動の実態に見合ったポリシーの設計・運用が必要になる。

そうなると,ある程度長いタームを想定したPDCAサイクルというものは,逆に危険であるということになるかもしれないし,少なくとも全くの幻想であるかもしれない。PDCAのサイクルについては,現在のように数ヶ月~1年ではなく,1日~数日程度に短縮して考える努力が必要だろうと思われる。

そして,監査についても同様に考えるべきだと考える。PDCAのサイクルが1日である場合,外部監査人は,毎日,数分程度で監査を完遂し評価結果を出せるような努力をしなければならない。しかし,これは無理だ。ということは,サイクルが非常に短い場合,現行のISMSが想定しているような意味でのPDCAは成立し得ないということになるのだろう。

したがって,そのような場合には,別のセキュリティの手法を考えなければならないという当たり前の結論になる。

このことは非常に大きい。

なぜなら,クラウドにしろ何にしろ,あるサービスや製品のセキュリティの保障は,上記のような意味での現行のセキュリティ標準に基づいてなされているのだが,その標準が本当は機能しないような状況の下でシステムが実運用されなければならないかもしれないからだ。換言すると,事前の保障が想定しない状況でシステムが運用される場合,実は何も保障がないのに実運用されていることになる。

ここらへんのところをしっかりと考えなければならない。

|

« 中国:世界一の違法コピー生産国 | トップページ | IPA:Adobe Flash Player の脆弱性(APSB10-26)について »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« 中国:世界一の違法コピー生産国 | トップページ | IPA:Adobe Flash Player の脆弱性(APSB10-26)について »