セキュリティというと「機密性」に目がいきがちだけど、「完全性」「可用性」という面も忘れてはいけない。この３つが三原則と言われていて、元はOECDの1992年の文書に遡るらしい。インターネット普及前の話なのに、今でも充分通用すると思う。どれか１つをガチガチにすることは簡単だけど、この３つのバランスが取れていないと、結局システムは使い物にならない。

でも立場によって、自然と優先順位の重み付けができちゃうんですよね。サービスを展開している人であれば可用性が最も大切で、コンプライアンスに関わる人なら可用性を犠牲にしてでも機密性が重要だったり。なぜなら、この３つ以上に切実な「コスト」という軸をベースに語る必要があるから。

今更だけどあらためて。セキュリティ屋の仕事は、これらのバランスを取りながら必要十分な対策をしかるべきコストで実装すること、なのかな。やり甲斐はあるけど、全然気が抜けない。でも、それはどんな仕事でも一緒か。