情報セキュリティ要求事項
これは行けないらしい。おどろおどろした言葉が思考停止を招いてしまう。開発者向けならセキュリティ実装方針あるいはセキュリティ要件でもいいのではないかということらしい。ものを作る時にセキュリティのことも考えてください。物を作る時に、安全を考えるのは常識、最近はエコも考えるのが常識。コストも考える。勿論、性能・機能は入る。そういう開発要件の中にしっかりセキュリティを入れなさないということ。極めて常識的。
こういう風に話を聞くとタイトルの言葉も理解できない訳ではない。さらに、セキュリティの中身はソフト開発、システム開発をやる人には当然の内容がほとんどで、今更、セキュリティ要求事項を振りかざされると戸惑うのは止む無いことのようだ。ある意味、余計なお世話。まあ、チェックリストの一つとしてみるだけは見ておきましょうねというレベル。
..
それは当然。ここに集まる牛乳瓶はITのプロではなくてプロのIT開発者にものを言うには知識的にも無理がある。
牛乳瓶はもう一つのことで盛り上がった。品質、環境、情報、サービスなどの分野で微妙に言い回しが変わってくる。牛乳瓶にもいろいろあるようだ。一人でいくつもやる人もいて、こっちではこうだけどこっちではこうだ。ちんぷんかんぷん。
セキュリティ要求は社内のシステムに対して要求するもので、販売するシステムには要求しないと言い出した牛乳瓶をよってたかって小突き始めた。セキュリティをやっている会社からセキュリティに穴だらけのソフトが出てくることの是非が小突きあいの争点。訳知り顔の牛乳瓶は、それは品質の要求であってセキュリティの要求ではないと来たもんだ。
聞いていて変な理屈だと思ったら、フォローする牛乳瓶が出てくる。品質要求に無かったら、セキュリティをやっている会社からセキュリティホール付きのソフトを出荷していいのかと聞いてきた。訳知りはそれは品質の問題、セキュリティじゃないと又叫ぶ。こうなると殆どアホに見えてくる。世間はそんな仕分けはしてくれない。社長だってOKする訳ない。理屈屋の小理屈だね。
社内で開発した販売用のソフトウエアも立派な情報資産。開発環境もテスト環境も情報資産で溢れ返る。全ての情報資産はリスクに応じたセキュリティが維持されることが求められるから、仮に商品であってもセキュリティは達成されなければいけない。求められるセキュリティレベルは商品の取扱(社内及び顧客先)に応じたものであればいい。全くケアしない(セキュリティを考慮しない)こととは別の話だ。
普通の会社?では、品質要件にセキュリティ要件を織り込んでいることが多いが、セキュリティは無関係ということではまったく無い。社内に滞留する情報資産に対するセキュリティ要件のスタンスの話が1つ。
もう一つは、商品提供は会社の行うサービスとして捉えることができるという発想のもの。PL法とか保証とかサポートとかあって、企業はものを売っても関係が切れるわけではない。商品に対する責任、商品の基本性能に対する責任は長く求められるという観点に立てば、デフォルトでセキュリティを掛け、顧客の責任でセキュリティを外すとか追加のセキュリティを実装するとかの流れが実際的だという主張が出てきた。
訳知り顔は依然頑張っているが、保身的な振る舞いに見えるのは致し方無しということでしょうか。