A Security Policy

「セキュリティ対策の目的は『安全・安心』の確保」---情報セキュリティ補佐官の山口氏 | 日経 xTECH(クロステック)より。

そして,「情報セキュリティ対策の目的は,高度情報ネットワーク社会において『安全・安心』を確保すること」とし,セキュリティ対策を考える上で重要な点を5つ挙げた。

(1)守るのはシステムだけではない。情報資産や交換される情報(トランザクション)も守らなければならない
(2)事業継続性を脅かすものをすべてリスクと考える。具体的には,サイバー攻撃(サイバー・テロ)だけではなく,操作ミスやシステム障害,自然災害なども考慮する
(3)対策を施していることが,一般のユーザーにも分かるように可視化する。「セキュリティのためには見せないほうがよい」という考えがあるが,ユーザーに安心感を与えるためには可視化が不可欠
(4)防護されていることが,ユーザーにも検証できるようにする
(5)全体的に,安心感を与えるような取り組みにする

同意。どこかに、「セキュリティ原理主義がはびこっているのが懸念される。」とも。同感です。