« 個人情報保護過剰反応対策の必要性 | トップページ | 過剰反応と可用性(2) »

2007年8月 2日 (木)

過剰反応と可用性(1)

本日は先日の記事の続き、という内容のお話を。

一般的に機密性を高める対策は、可用性を低下させます。
よく「情報セキュリティのCIA(機密性、完全性、可用性)」というが、これら3つをすべて高める対策というのは現実的には困難であると考えなくてはなりません。
つまり、「情報セキュリティのCIA(機密性、完全性、可用性)」の中でも、トレードオフ(「あちらを立てれば、こしらが立たず」ということ)があり、そのバランスが必要になるということです。

また「リスク対応」といえば、
・「リスク低減(最適化)」
・「リスク移転」
・「リスク回避」
・「リスク保有」
の4つに分けられますが、リスク対応の中にもトレードオフがあります。

特に「リスク回避」はそのトレードオフとして可用性や効率性の低下を招きビジネス機会の損失を、「リスク保有」は直接損失のほか風評被害などの間接損失を発生させます。

にも関わらず、多くの情報漏洩対策は「機密性」だけに焦点が当てられ、「リスク回避」の対応がとられていることが非常に多いようです。
(自組織や同業者にノートPCの紛失があれば、「ノートPCはもちろん全ての電子媒体の持ち出しを禁じる」というような対応)
そして、このトレードオフは、対応の主体の組織だけでなく、その関係者(ステークホルダー)にも影響を及ぼしている場合があります。

それでも「機密性」「リスク回避」偏向の対策・対応でいいのでしょうか?

|

« 個人情報保護過剰反応対策の必要性 | トップページ | 過剰反応と可用性(2) »

日記・コラム・つぶやき」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/7332421

この記事へのトラックバック一覧です: 過剰反応と可用性(1):

« 個人情報保護過剰反応対策の必要性 | トップページ | 過剰反応と可用性(2) »