Scribble at 2019-09-25 22:19:33 Last modified: 2022-09-29 14:01:37
シュナイアーの attack trees の議論から出発して、この手の形式的な分析手法を色々と見ているのだが、有名なものと思われる文献ですら、まじめに取り上げて議論している人々は日本に数十人ほどしかいないと思う。実際、Google Groups にも専門のメーリング・リストはあるが、さほど活発に活動しているとは思えない。かといって学術研究の成果である論文が出ているわけでもなく、もちろん書店で情報セキュリティのコントロールを効果的に組み合わせてデザインするなどという発想で書かれた書籍は、翻訳だろうと皆無と言っていいだろう。
もちろん、可能であれば積極的にこうしたアプローチも学んで大きな影響を及ぼさない範囲で実装してみることが望ましい。そして、そういうことは、国内の JIS や国際的な ISMS という既存の規範なり規格に制約されず自由に議論できる、理論家なり実務家の社会的な責務とも言えよう。本来はこれも CSR と言っていいし、勘違いだろうとなんだろうと有能だと自負していて時間もある者が率先してコミットしない限り、いつまでたってもプライバシーマークの監査準備といった水準でしかセキュリティを語れないという、僕からすれば低レベルも甚だしいマネジメントのままである。