« MySQL.comがハックされ,マルウェアによって汚染されたらしい | トップページ | フィジー(本島東方沖)でマグニチュード5.5の大きな地震が発生 »

2011年9月27日 (火曜日)

これからの情報セキュリティ標準で必須のものとして考慮すべき要素

これまでずっと情報セキュリティマネジメントについて考えてきた。

最近の状況を踏まえると,結論として,下記の要素を含むものとして情報セキュリティマネジメントの基本原理が再構築されなければならないと考える。

1) 組織のトップまたは幹部が「悪」であることがあり得ることを想定し,客観的にそのような状況が発生した場合には,「悪」である者を合法的に消滅させ,遮断し,または,排除するための合理的かつ適法な手段・方法をインクルードしていること。この場合に,他に手段がない場合には,正当防衛として当該組織のトップ等の身柄を適法に拘束し,または,その他の政党防衛行為を適法に実行するための基準を明確化しておくことが望ましい。

2) 1の場合において,平時における管理手段を全部自動的に停止し,戦時の管理手段に合理的かつ適法に切り替えるための合理的かつ適法な手段・方法をインクルードしておくこと。

3) システムで用いられるリソース(パブリッククラウド等によって提供される共有リソースを含む。)が改変されたもの,または,マルウェアを含むものである場合を想定し,第三者が作成・提供するリソースを一切利用しなくてもシステムの最低限の機能が安全に維持されるようにすること。

4) 自然災害や戦闘行為等による物理的損傷・被害が甚大となる場合があることを想定し,物的な防御を確実なものとすること。

5) 組織内部に敵国やライバル企業等のスパイが含まれている可能性を想定し,それを合理的に検出して排除するための合理的かつ適法な手段をインクルードすること。

6) 第三者である認証機関から発行される電子証明書が全て虚偽内容のものである場合があり得ることを想定し,全ての電子認証が全く信用できない状況であっても合理的にシステムを維持できるような手段・方法をインクルードしておくこと。

7) 組織にかかわる者(経営陣や従業員等の全てを含む。)について本人確認機能が停止,または,その信頼性が完全に喪失する場合を想定し,予定されている本人確認機能を利用できなくても,本人確認を実行できるような手段・方法をインクルードしておくこと。なお,この非常用の手段は,非電子的なものでなければならない。

8) 放射能汚染,戦争,テロ攻撃その他の異変のため,システム要員が全員死亡し,または,システム運用に携わることができない場合であってもシステムの安全性を確実に維持し,または,(場合によっては)システムを自動的に破壊し,または,完全に機能停止させるための合理的かつ適法な手段・方法をインクルードしておくこと。

以上の要件を全て完全に充足しない情報セキュリティ管理手法は,現実には何の役にもたたない。

以上の見解は,私見である「戦時と平時が常に共存する状況」の理論に基づくものなので,この理論を肯定しない立場からは是認され得ないものであることは理解している。

|

« MySQL.comがハックされ,マルウェアによって汚染されたらしい | トップページ | フィジー(本島東方沖)でマグニチュード5.5の大きな地震が発生 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« MySQL.comがハックされ,マルウェアによって汚染されたらしい | トップページ | フィジー(本島東方沖)でマグニチュード5.5の大きな地震が発生 »