情報システムの価値を壊すセキュリティは悪である｜情シスとセキュリティ部門は分けるべきなのか

概要

CloudNative BLOGsの記事。「セキュリティ組織は独立させない方が良い」というXの投稿が話題となり、著者が情シスとセキュリティ部門の分離について深掘り解説。情報セキュリティの本質は事業価値を守ることであり、情報システムの価値を毀損するセキュリティは悪であるという視点から、分離の是非を論じている。

詳細

• セキュリティ組織を独立させると「すべての判断が安全側に倒され→業務がやりにくくなる→問題発生」のループに陥りやすい
• 情報セキュリティの目的はCIA（機密性・完全性・可用性）の維持であり、可用性を無視したセキュリティは逆効果
• 情報システムは事業価値を生み出すためにあり、その価値を守るのがセキュリティの本質
• 分離の是非より「セキュリティ機能が事業価値を追えているか」が重要
• 独立させるべきは「運用」ではなく「監査」
• セキュリティ担当が業務責任を負わない構造がループを加速させる

参照

• 出典: https://blog.cloudnative.co.jp/articles/security-that-destroys-it-value/
• はてなブックマーク数: 57