セキュリティの話になると、
「すべてを防ぐ仕組みを作りたい」と考えがちです。
しかし応用情報技術者試験では、
完璧なセキュリティは存在しないという前提に立って、
現実的な対策を選べるかが問われます。
この回では、
なぜ完璧なセキュリティが存在しないのかを、
応用情報視点で整理します。
セキュリティが守ろうとしているもの
セキュリティの目的は、
単に攻撃を防ぐことではありません。
- 情報を漏らさない
- 改ざんさせない
- サービスを止めない
といった、
価値を守るための手段です。
応用情報では、
この「守る対象」を意識できているかが重要になります。
完璧にならない理由① 想定できない攻撃
どれだけ対策をしても、
- 新しい脆弱性
- 想定外の使われ方
- 攻撃手法の進化
を完全に予測することはできません。
応用情報では、
「想定外が起きる前提」で
設計されているかが問われます。
完璧にならない理由② 利便性とのトレードオフ
セキュリティを強くしすぎると、
- 利用者の操作が煩雑になる
- 業務効率が落ちる
- 現場で守られなくなる
といった問題が起きます。
結果として、
形だけの対策になることもあります。
応用情報での典型的な出題意図
午後問題では、
- 技術的には強固
- しかし運用が破綻している
といった対策が、
不適切な選択肢として登場します。
ここで、
「強さ」だけでなく
「現実性」を見られていることに
気づけるかが重要です。
セキュリティはリスク管理
応用情報では、
セキュリティを
- リスクをゼロにするもの
ではなく - リスクを許容範囲に抑えるもの
として捉えています。
何を守り、
何を諦めるかという判断が、
必ず存在します。
実務での考え方
実務では、
- 重要度の高い情報を優先的に守る
- 侵入される前提で被害を小さくする
といった設計が行われます。
応用情報は、
その現実的な思考を
試験問題として整理しています。
まとめ
- 完璧なセキュリティは存在しない
- 想定外と利便性の制約がある
- 応用情報はリスク判断を問う
セキュリティを見るときは、
「何を守るための対策か」
を常に意識することが重要です。
次回予告
次回は、
「認証と認可が混ざると何が起きるか」
を扱います。
セキュリティ設計の基本に進みます。
コメント