Scribble at 2024-10-15 17:46:19 Last modified: unmodified

いやぁ。情報セキュリティの三つの指標である、機密性・完全性・可用性を表す図ということらしいけど、僕はこの figure は良くないと思う。CIA-triad ということで三角形にしてあるということくらいは認めてやってもいいが、デザイナーとして、それから情報セキュリティの実務家として、こういう短絡的で誤解を招くイラストは良くないと思うね。

まず、このイラストを描く基本的な着想が、古臭いペリメータ・モデルということが第一の欠点だ。正直なところ、いまさら "zero trust" なんて言ってるけど、こういうことは海外も含めてまともなレベルの情報セキュリティの思想なり運用をやっている企業なり個人では、ペリメータ・モデルに限界があるとか間違った思い込みがあるなんてことは常識だったんだよね。何も CISSP を持ってなくても、僕のレベルていどの実務家なら誰でも突っ込んできたわけだよ。

第二に、情報セキュリティが「情報」だけのセキュリティであるというのも、僕らに言わせれば短絡的な思い込みだと言える。仮にこれが「情報資産」という意味だとしても、情報資産という概念にはデータや情報だけでなく、信用とかブランドとかデータを取り扱う機器やサービスや僕ら自身である従業員など、色々な関連要素がある。よって、ISMS の運用でも言えることだが、情報つまりはコンピュータで扱うデータやファイルさえ守っていればいいという発想は、必ず「負ける」のだ。もっとも簡単な負け方は、もちろんソーシャル・ハッキングであり、次に負け易いのは自然災害だ。

そして第三に、こういう描き方をすると、ハードウェアが機密性と可用性だけに関わるかのような錯覚を生じるだろう。同じく、コミュニケーション（これは何のことだろう？ ISMS でも「コミュニケーション」なんていう対策はないが）が機密性と完全性だけに関わり、そしてソフトウェアが完全性と可用性だけに関わるかのような錯覚を生む。これでは全くのデタラメであって、「素人向けに分かりやすくした」などという言い訳すら通用しないものだ。