・どんなサービスがネットワークで提供されるか
・そのサービスがどの範囲で提供されるか
・誰がそのサービスにアクセスするか
・誰がそのサービスを管理するか
次のようなバランスをも考える必要がある。
・提供されるサービスに対して準備できるセキュリティ
・使いやすさに対してのセキュリティ
・セキュリティにかかる費用に対しての損失
この三つのバランスは、即ち、提供(実施)されるサービスが多ければセキュリティが甘くなる、あるいは、準備の負担が増える。ユーザの使いやすさを増大させればセキュリティは甘くなる、言い替えればセキュリティに配慮されたサービスはそれなりに使いにくい。セキュリティにかかる費用は思わぬほど大きい。用意を周到にすればするほど加速的に増加していく。
この費用と守るべき資産の正確な見積りや、セキュリティが破られた場合、損失の見積りのバランスを考える必要がある。
以上のような要件を明確に把握しながら、具体的に技術的な方法論を選択していく。このあと「監査体制」や「事故発生時の行動計画」等々を明文化する。方針の確立には組織に属するすべての役割、階層のメンバーと調整することである。特に今後はコンピュータ関連部門だけではなく、経営層や地方公共団体におけるトップヘの十分な説明と理解を得て、トップの判断や役割を方針の中に明文化すべきである。
また、冒頭に書いた既存の規則等との整合性の確保のため、法務部門の協力も不可欠である。
AUPを含むすべての方針のユーザに公開される部分は、難解な用語や複雑な文で書かれるものではなく、あいまいさや誤解がないような平文であるべきである。そして、できればセキュリティ方針を守るべき全員が方針を理解して遵守することの誓約をとることが望ましい。方針は一度策定すれば終りというものではなく、ひとつは「監査」の視点を明確にしておき、監査の結果をつねに方針に反映させることである。監査のためにはもちろん正確な運用の記録が必要になる。
また、提供されるサービスの内容に追加や変更が生じても方針は書き換えなくてはならない。更に、自組織に対する攻撃の結果だけではなく、他の組織への攻撃や脅威を各種の情報源から日々得て、必要であれば方針に変更をあたえる努力を怠ってはならない。
管理者の怠慢こそが最大のセキュリティホールである。
参考文献
RFC2196 Site Security Handbook(http://www.ietf.org/rfc/)
