そもそも「セキュリティ」とは何か?
2015年12月、とあるモバイル系のイベントで、米国系モバイルセキュリティベンダーのマーケティング担当者の講演を聞く機会があった。その講演者の話の中に、以下のようなものがあった。
MDM(Mobile Device Management)サービスは、アプリインストールを禁止する、Safariを禁止する、といった「禁止」しかできないものである。
読者のみなさんであれば、これは間違いであることを簡単に認識されるであろう。MDMは、この他にもアプリやポリシーの配信ができたり、各端末の稼働状況を確認できるものもある。MDMの最後の「M」は、管理するだけでなく、ケアをすることも含んでいるのだ。
この講演者は、残念ながら自社製品以外の状況、サービスというものに対する知識が乏しかったようだ。他にも多くの間違いを含んだままの講演は、参加者に多くの誤解を与えるものであったのだが、セキュリティベンダーといってもこの程度の知識で講演する企業も残念ながらあるようだ。
そもそも「セキュリティ」とは何であって、何のために必要で、どうすれば安心できるものになるのだろうか。
こちらの記事(「そもそも「情報セキュリティ」って何なの? 情報セキュリティの定義と必要性」)に、ラックの長谷川長一さんがセキュリティの3要素について書かれている。
このうちの3つの要素「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」が、「情報セキュリティの3要素」として、よく「(情報セキュリティの)CIA」と言われています。
企業にとって、セキュリティは欠かせない要素だ。よく、筆者もセキュリティコンサルタントの記事を読むのだが、この中で「機密性」と「完全性」ばかりに寄せた記事が多い。たしかに、「機密性」も「完全性」も考えなくてはならないところだが、それは企業の業種業態によるし、データの中身にもよる。どの顧客にでも見せる資料は機密資料ではないし、完全性を求める必要もないだろう。むしろ、「可用性」のほうを重視すべきだ。
セキュリティベンダーは、セキュリティを売り物にしているので、当然「危ないですよ」というところに注力した説明になりがちなのだろう。しかし、「危ない」ばかりを考えていても、使い勝手の悪い仕組みになってしまっては困る。それでは、モバイルである意味すら失いかねない。
