多層防御とは、IT 業界でこのごろよく耳にする言葉だが、原語である「Defence in depth」は軍事用語であり、Wikipedia によると、前線を複数用意し、敵の攻撃に少しずつ陣地を譲りながら中枢部へ攻撃が及ぶ時間を稼ぎ、敵の兵力が衰えて反撃できる機会をうかがう戦略、とある。広い陣地を未熟な兵力で効率的に防衛できるらしい。
「多層防御」という完璧の匂いがする言葉とは裏腹の譲歩戦略だが、頷ける部分としては IT の世界でも防衛する箇所は広範囲におよぶのに、兵力を入手する予算はたいてい不足していること。しかしコンピューター犯罪の脅威は衰えを知らず、それは外から侵入するだけでなく中からも発生することもあるので、IT の世界の方が状況は厳しいと言える。
多層防御の「層」は OSI レイヤに似ているが、ネットワークの層にはインターネットとイントラネットの境界、研究開発などのハイ セキュリティ部門のネットワークというように、社外から情報の中枢部分までの構成を等高線のように線引きした層という横の広がりがある。
2006年9月:Your staff - not hackers - are the biggest IT security threat
「ハッカーではなくあなたの部下がセキュリティの最大の脅威」
2007年9:Employees as big risk as hackers
「従業員はハッカーと同じリスクである」
2008年3月:Employees the weakest link in IT security
「ITセキュリティの一番の弱点は従業員」
これらの記事では、企業の IT 担当者に身近な内容が数値をもって説明されている。上記の3つの記事では、強固なセキュリティ システムを導入しても、従業員の意識や行動が変わらなければ全く意味がないという主張が直接的、間接的に含まれており、非常に興味深い。
(E-コマース 7月25日 18:00)
EPM Summit 8月27日開催 at 東京
