Linux勧告ウォッチ - 2003年7月25日
スーパーで子供がキャンディがほしくなったとき、普通は何が起こるだろう。ほとんどの場合、子供は親に主張をして、よい返事を期待する。よい子にしていれば、キャンディを買ってもらえるかもしれない。しかし、最近お行儀がよくなかった子は買ってもらえないだろう。これと情報セキュリティがどう関係あるのだろうか。健全なセキュリティ予算は、キャンディのようなものと考えることができる。セキュリティ予算を獲得するのは難しい。現在の不景気では、どのような経費に関してもきちんと正当性を説明し、承認を得なければならない。セキュリティに十分な予算を費やすためには、企業の決定権を持つ人物をどうやって説得したらよいのだろうか。
決定権を持つ人物は、すべてのプロジェクトの正当性を確認しなければならない。不安感や恐怖感につけこんで説得するよりも、プロジェクトごとにビジネスケースを用意する方がずっと効果的だ。たとえば、スパムとウイルスへの対処を改善するために、現在の電子メールサーバファームをアップグレードすることが非常に重要だという場合は、ビジネスケースを使用して、正当性を正しく主張する。ビジネスケースを作成すれば、さまざまな手法を適度に研究し、検討することが余儀なくされる。
ビジネスケースには通常何を含めるのだろうか。一般には、最も重要なのは「要約」セクションである。これは単なる1枚の書類にすぎず、その文書の他の部分に記載したすべての情報がまとめられている。要約は最後に書くのが望ましい。次に一般的なのは、「導入」のセクションだ。このセクションには、背景情報、そのビジネスケースの目的、主題についての情報を含める。主な目的および目標を箇条書きにまとめ、組織環境の要因について説明してもよいだろう。その後は「分析」のセクションを追加する。このセクションには、プロジェクトの目的と目標の説明、適用範囲、業務上のリスクの正当化、その他のソリューションを書く。最後に、業務に対する効果についてセクションを書く。利点、高レベルROI分析、タイムフレームの提案、プロジェクトのリスクの一覧を含める。
ビジネスケースの書き方はさまざまである。最も重要なのは、それを読む対象者のことを考慮することである。ビジネスケースの作成方法についてはGoogleで調べることができる。また、私に連絡をくれれば、役に立つ情報源をいくつかお教えできる。
それでは、また来週。
Benjamin D. Thomas
Linuxセキュリティのその他の記事:
REVIEW: Linux Security Cookbook─実世界の問題に対する単純な解決策というものはめったにない。セキュリティの分野では特にそうである。『Linux Security Cookbook』は、こうした実世界の問題を解決するのに役立つ必須ツールである。本書は、ベテランのシステム管理者から、セキュリティに興味のあるホームユーザに至るまで、あらゆる人に当てはまる状況を網羅しており、自ら述べているように、セキュリティを重視する人にとっては必読の参考書である。
Real-Time Alerting with Snort─リアルタイム警報は、IDSやその他のモニタリング・アプリケーションの機能であり、イベントを許容可能な時間内に担当者に通知する。許容可能な時間がどの程度であるかは、人によってさまざまである。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
[ 購読
]
