情報セキュリティの5つの主要概念では、どのように情報セキュリティ対策を実施すべきか。志方氏は、情報セキュリティの5つの主要概念を紹介した。
図表1 情報セキュリティの5つの主要概念 |
 |
情報セキュリティの概念を実践する際の注意点として志方氏は、①セキュリティ・バイ・デザイン、②階層型セキュリティ、③対象とするセキュリティの問題を正確に理解して定義すること――の3点を提示した。
1つ目のセキュリティ・バイ・デザインとは、システムが出来上がってから情報セキュリティ対策を後付けで追加するのではなく、最初の設計段階で情報セキュリティ対策を入れておくことを指す。
2つ目の階層型セキュリティとは、いくつもの層を重ねるように多層化したセキュリティ対策を搭載することを指す。それによって1つの対策が突破されても次の対策でセキュリティ事故を防ぐことが可能となる。
3つ目の対象とするセキュリティの問題を正確に理解して定義することは、どのような目的のもとでどのような脅威や攻撃を対象とし、その対象に対してどのような対策を実施するのかを定めることを指す。
「自分はどういう敵に対して防御しようとしているのか、なぜそのセキュリティ対策を導入するのかを明確に自覚することが大切だ。費用をかければセキュリティ強度を上げることができるが、それが経済的に商品として成り立つかは別の問題。目的に基づいてセキュリティ対策を実施すべきだ」と志方氏は指摘した。
