「チーズモデル」で考える、情報セキュリティホール(穴)
経営者のみなさん、情報システム担当者のみなさん、情報セキュリティ対応はどのように進めればよいか、困っていませんか?
予算も、人も少ないのに、どうやってシステムを守れば良いか、私も以前は困っていました。
情報セキュティ対応はバランスが重要です。
無駄なコストをかけたくない方は、現在の情報セキュティ対応コストを見直してみた方が良いかも。
〇 チーズモデルってなに?
チーズモデルは、事故や問題が起きないようにするための考え方です。これは、たくさんのスライスされたチーズを使って説明されます。
〇 チーズモデルのポイント
1. チーズのスライス(防御層)
– 各スライスは、問題を防ぐための対策です。例えば、パスワードを使うことや、ウイルス対策ソフトを使うことがこれにあたります。
2. チーズの穴(脆弱性)
– チーズには穴があいています。これは、対策が完璧ではない部分を表しています。例えば、パスワードが簡単すぎると、悪い人に見破られてしまうかもしれません。
3. 問題の通り道
– 問題(例えば、コンピュータウイルス)は、チーズの穴を通って進んでいきます。すべてのスライスの穴が一列に並ぶと、問題が通り抜けてしまいます。
〇 チーズモデルの大切さ
4. 複数の対策を使う
– 一つの対策だけでは不十分なので、いくつもの対策を使って問題を防ぎます。
5. 穴をふさぐ
– 各対策の穴を見つけて、ふさぐことが大切です。これにより、問題が通り抜けるのを防ぎます。
6. 対策を見直す
– 対策は一度決めたら終わりではなく、定期的に見直して改善することが必要です。(後から、穴が発見されたり、新たに穴が開くことがあります。)
〇 まとめ
チーズモデルは、たくさんの対策を使って問題を防ぐ考え方です。各対策の穴を見つけてふさぎ、定期的に見直すことで、より安全にすることができます。
これで、チーズモデルが少しわかりやすくなったでしょうか?
このように、各要素に対する投資や管理の割合を示すことで、情報セキュリティ対応の全体像を把握しやすくなります。
情報セキュティ対応について、ご支援します。
コメント