セキュリティは政治的問題

#セキュリティ

セキュリティは技術的な問題ではなく、政治的な問題である。

技術的な解決策を講じる前に、政治的な決定が必要であり、意思決定者に影響を与えるために政治的戦略を用いる必要がある。

セキュリティは技術的な問題ではなく、政治的な問題であるという主張が注目されています。この記事では、セキュリティの実現には技術的な対策だけでなく、政治的な意思決定が不可欠であると説明しています。

技術的問題と政治的問題の違い

技術的問題は、人間の行動や感情とは無関係で、単に障害を排除するだけの問題です。一方、政治的問題は、意思決定が必要で、その決定は通常自分自身にはありません。例えば、パスワードのハッシュ化は技術的対策ですが、その背後には「ローカルにパスワードを保存する」という政治的決定があります。

リスク管理は政治的なプロセス

セキュリティを実現するにはリスク管理が不可欠です。誰かが「これは問題だ」と判断し、誰かが「これは大丈夫だ」と判断する必要があります。この判断は、Excelシートでもコインの裏返しでも、最終的には人間の価値観に基づいて行われます。また、予算を確保するためには、セキュリティ投資のROI(投資収益率)を説明する必要があります。

技術的解決策は政治的決定の実行

技術的な解決策は、 managerial decision(管理職の決定)に基づいて存在します。その決定はいつでも変更される可能性があるため、コストと利益を明確に示す必要があります。セキュリティ担当者は、最も保守的なアプローチを取るべきで、責任を取る人物にリスクを委任し、その署名を証拠として残すことが重要です。

まとめ

セキュリティは技術的な問題ではなく、政治的なプロセスの一部です。技術的な対策は重要ですが、最終的には人間の価値観と意思決定がセキュリティの実現に影響を与えます。

原文の冒頭を表示(英語・3段落のみ)

Every now and then I meet a (usually) young and passionate security practitioner, uttering sentences like: “But this is just the bare minimum, we have to do (insert here: firewalls, phishing simulations, SAST, bcrypt, encryption at rest... pick one). We cannot work without it!“I’m afraid I have bad news. We absolutely can work without it, even though we disagree. I know you don’t want to hear this, hell I remember I didn’t like hearing this, but here goes. Security is not a technical problem, security is a political problem that sometimes uses technical solutions.I’m writing this article as a reference point. It is critical for me to get this argument right, because it underpins nearly every other effort in security.

Is this the right amount of security in this context? (by Serena Koi)

Technical and Political Problems

※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。

元記事を読む ↗