情報システムのセキュリティ

情報システムは、セキュリティ試験と評価を行う必要があるとのことですが、何故でしょうか？またそれが重要だとすると何故重要なのでしょうか？そしてこれら試験と評価は、実際にはどこで役に立ち、どのような場面で使われているのでしょうか？

今、読んでいる本では、「セキュリティ試験と評価は重要だ」や、それの実際の方法論など結果ばかりで、その前提となる背景を知りたいと思い質問させて頂きました。また、これらセキュリティ試験と評価に関する文献があれば、紹介して頂けると助かります。

それでは宜しくお願い致します。

No.4 回答者： onosuke 回答日時： 2009/11/17 04:57

申し訳ない。

No.3の回答ですが、半分寝ぼけていたせいで、
一部、文章の「てにをは」がおかしいです。
読み難いかもしれませんが、お願いします。

No.3 回答者： onosuke 回答日時： 2009/11/17 04:44

>その前提となる背景を知りたい

以下は、上記の視点に対する回答です。


第一に、
安全(英語本来の意味でのセキュリティ)とは事故を発生させないことです。

一度事故が発生すると、ステークホルダーに対して、決して小さくない影響があります。
このため、「事故を予防する」、「安全(セキュリティ)を維持する」ことの重要性は理解いただけますよね？

ここでのポイントは、
重要なのは「安全(セキュリティ)を維持する」ことであり、
試験や評価といったものは、「安全(セキュリティ)維持」を実現するために手段に過ぎないと認識することです。

第二に、
「安全(セキュリティ)を維持する」こと、つまり「安全(セキュリティ)対策」について。
「安全(セキュリティ)対策」は、元々、工業、土木、建設の分野が先達となって、
開拓されてきました。
というのも、上記分野での大事故が社会的な問題となってきた歴史があるからです。
（最近では、美浜原発における事故などが記憶にあたらしいと思います）

このような大事故が発生した際、よく耳にするセリフがあります。
「このようなことが起こるとは思いもかけなかった」

これは別の言葉で言い換えると、下記のように書けます。
「このような事故を発生は想定しておらず、事故リスクを【評価】していない。
　従って、事故リスク回避（事故予防）に必要な【試験(検査/診断/点検)】は過去一度も行ったことがない」

さらに、逆説的表現にすると
「事故を未然に防ぐためには、事故リスクを事前に【評価】し、
　事故リスク回避（事故予防）に必要な【試験】を抽出/実施すべきである」
というケーススタディに辿り着きます。

結局のところ、「セキュリティ試験と評価は重要だ」という知識の前提は
上記のケーススタディに発している分けです。

# ちなみに、美浜原発の例を挙げると、
#　・特定部位の配管磨耗が他部位に比べて、著しく進む事故リスクの【評価】が不足していた。
#　・結果、事故箇所における配管磨耗【試験(点検)】を行っていなかった。
# というような話だったと記憶しています。


第三に、
安全(セキュリティ)全般に関する文献について。
近年、安全(セキュリティ)は
「失敗学」や「安全学」「安全工学」といった名前で学問研究されています。
上記キーワードで検索してみてください。

参考URLの資料などは、ちょうど今回の質問内容にマッチングしているかもしれません。


＜その他＞
No.1で例示されている
＞「機密性」「完全性」「可用性」の３属性
は情報システムの事故リスクを【評価】する際の観点/視点として、
代表的なものですね。

参考URL：http://www.scj.go.jp/ja/info/kohyo/pdf/kohyo-17- …

No.2 回答者： ani00 回答日時： 2009/11/16 15:45

こんちゃ

あのねぇ、そこが何で？と聞くレベルなら、まだ試験は早いよ。
情報漏えいとその原因や情報保護法関係の知識を先に得ないと
とっても使い物にならないから。
後は、自分でんなもん探せないなら、この商売は向かないから、
止めとき。もし、ミスって情報漏えいや事故起こしたら、どうなると思う？
まずはその辺を調べて見る方が先。
情報やその扱いから、さらにはインサイダーとかに関して調べな。
正直、家の後輩も似たような事言うから、この辺テストしたら、けちょんけちょんだったし、最近の若いのは、脇がダダ甘だなぁ。
情報システム自体の必然性やない場合、悪用した場合を調べて、
それからだっての。
まあ、がんばって。
あと、教えてクンにはこの商売は無理だから、絶対に聞くなとは言わないけど、資格取っただけでこの仕事はできないよ。
PC暦20年のプロより。

No.1 回答者： bin-chan 回答日時： 2009/11/12 22:43

「セキュリティ」というと「保安」のように思われますが

「機密性」「完全性」「可用性」の３属性です。
（さらに「否認防止」「責任追跡性」「真正性」「信頼性」も含むらしい)

独立行政法人ＩＰＡさんの「セキュリティ」ページ
http://www.ipa.go.jp/security/index.html