SNSでインターネットに接続しないのが一番のセキュリティというような記述を目にしていろいろ思ったので、思ったことを書きます。
インターネットに接続しないのが一番のセキュリティ とは
この言葉で言いたいのは、インターネットに接続すると攻撃されるリスクが高まるため、接続しないのが一番リスクが低いということだと思います。
確かにインターネットに接続することによるリスクはたくさんあって、接続するのとしないのとを比べると接続しない方がリスクは低く、その点はメリットと言えます。
しかし、そもそもインターネットに接続しないという選択肢が取れない場合もあるので採用できない場合もあります。また、一番のセキュリティという割に、インターネット接続の観点しか触れていないので考慮不足と思います。
一番のセキュリティとは
一番のセキュリティという言い方が曖昧なので、最善のセキュリティ対策状態について考えてみます。
セキュリティの基本的な要素は機密性と完全性と可用性と言われています。
機密性というのは、許可された人だけがアクセスできるようにすることです。これができていない場合は情報漏洩が発生したりします。
完全性というのは、情報が改ざんされていない状態とすることです。正しい情報であるということです。
可用性というのは、必要な時に利用できることです。使いたいのに使えないというのでは役に立ちません。
これら3つがバランスよく対策されていて、対策に掛かるコストも許容範囲内でおさまっているのが最善の対策状態と言えます。
バランスが悪く、どれかの観点だけに重点的に対策していても、対策できていない部分で問題が発生する可能性が高いため、バランスよく対策することが重要です。
セキュリティの侵害は相対的に脆弱な部分が原因となることが多く、対策する際も脆弱な部分から対策する方が効果的と考えられます。
例えば、非常に脆弱なソフトウェアのバグが発見された場合はそのバグを利用した攻撃が多くみられ、これに該当する場合には簡単に侵害されることになります。
その場合、他の部分の対策がどんなにしっかり行われていても、侵害を防ぐのには役に立たないこともあります。
唐突にコストについても触れましたが、コストも重要です。
セキュリティ侵害により被る被害額よりも対策に掛かるコストの方が高い場合はビジネス観点で無駄にコストを掛けていることになります。
したがって、対象のコンピュータシステムにより対策に掛けられるコストも変わります。当然、対策内容も異なります。
最善のセキュリティ対策状態というのは、対象のコンピュータシステムに合わせて十分に検討された対策が施された状態です。 したがって、具体的なコンピュータシステムを限定せずにこの対策をすれば良いというようなものは定義できません。 多くのコンピュータシステムに当てはまる対策であっても、それが適切でないケースもあり得ると思います。
インターネットに接続すべきかどうかについて
インターネットに接続すべきかどうかについて、セキュリティ対策の観点から決めるものではないと思います。
対象のコンピュータシステムがインターネットに接続することが必要なのであれば接続すべきですし、不要であれば接続すべきではありません。
最小限という観点はセキュリティの観点でもありますが、セキュリティの観点で検討すべきはむしろインターネットに接続すべき場合です。
インターネットに接続すべき場合に、どのようにセキュリティを担保すべきかについて、可用性(利便性)を損なわずに如何に対策するかがポイントです。
如何にインターネットを活用しビジネスに生かしつつ、セキュリティを担保できるようにするかというのが重要です。
インターネットに接続しない場合のリスクについて
インターネットに接続しない場合、インターネットという利便性がなくなるため、これによるビジネス効率の低下が懸念されますが、セキュリティの観点でも懸念はあります。
セキュリティ上のリスクはインターネットだけではありません。内部犯行もありますし、内部ネットワークやUSBなどのモバイルデバイスも攻撃経路の一つです。
あるPCがインターネットに接続していないとしても、別のPCがインターネットに接続できるのであれば、そこから侵害されることもあります。
インターネットに接続していないからと言って、セキュリティ対策が不要になるわけではありません。
まとめ
攻撃を受ける経路はインターネットだけではありません。インターネットに接続していない場合でも必要な対策を行いましょう。
適切なセキュリティ対策は状況により異なります。リスクや資産を評価し、必要な対策を検討しましょう。
セキュリティの目標は、使わないことではなく、安全に使用することです。インターネットを含め必要なものをできる限り安全に利用できるように対策を施しましょう。