情報セキュリティで使われる用語

呉井嬢次(Johji Kurei) 2006-03-25 11:09:00

 業界で独特の意味をもって使われる単語、いわゆる業界用語がある。警察用語なら、犯人を「ホシ」と呼ぶように、テレビの刑事ドラマの登場で普及した用語も多い。仕事で「使用を避けるべき業界用語一覧」にホシが載っているのを発見した時には、正直驚いた。情報セキュリティに関する用語の中にも、業界で使われる用語、言い回しがある。

インシデント(incident)

 偶発的な事件、ハプニングとして使われるが、情報セキュリティでは、セキュリティに関係する事件、事故を指す。ウィニーによる重要情報の流出、重要なデータを誤送信する人的なインシデントの他に、地震、停電、大雨による浸水といった自然災害も対象となる。

 インシデントに対しては、インシデント・レスポンス・チーム(緊急対応チーム:IRT)を早期に立ち上げ、対応させる仕組みが一般的で、米国では多く採用されている。日本でも採用している組織は多く、インシデントが起きると、組織への影響度を調査し、ベンダーと連携をとって情報収集し、解決にあたる。IRTにも欠点はある。IRTの活動は、経営者が費用の妥当性を判断することが容易ではないことだ。

 そこで最近は、組織を維持継続する事業継続の一部として取り組むアプローチが主流になっている。もっと昔になると、総会屋、企業テロを想定した危機管理委員会という名称が使われた。解決にあたる組織名は、時代と共に変化する。それでも、インシデントが無くなるわけではない。

 ちなみに、計画的に実行された情報セキュリティに関する事故でも、インシデントと呼ばれることがある。被害にあった企業にしてみれば、想定外の出来事というのが理由だ。

アカウンタビリティ(accountability)

 普通は「説明責任」と訳されるが、学術研究分野では、資金援助の用途を説明する責任として訳される。しかし、情報セキュリティ業界では、「責任追跡性」と訳されている。以前紹介した日本工業規格のパブリックコメントを募集したJISQ27001(案)にも「責任追跡姓」として使用されている。

 おそらく、最近の電子タグ(RFID)に代表されるトレーザビリティ(追跡性)を実現させると、顧客に説明する責任が重要となる。狂牛病(BSE)問題では、牛に電子タグを取り付けて、個体管理することになった。万が一BSEに感染したことがわかれば、原因となる牛を特定し、被害を防止できる。消費者は電子タグから情報を取り寄せ、安心した商品を購入できる。

 また、システムの提供するサービスとして追跡性を持たない情報システムでも「説明責任」という点は重要であることには変わりない。つまり、責任者まで追跡し、詳しい情報を説明できることから、責任追跡性にしたのだろう。

殺す(kill)
 これは用語というより、使い方である。システム上で起動されているプロセスを中止させることをいう。大学の計算機センターで運用保守業務をしていると、先生や学生からの依頼に対応する。その中でも、自分でプログラムを起動したが停止できず、プロセスの中止を依頼されるケースは多い。システム管理者はKillコマンドを使って該当プロセスのみを中断させる。女子大生が計算機センターに顔を出し、「あの〜、殺して欲しいのですが」と言われ、ドキッとすることがある。

 特殊な使い方をする用語は他にもあるが、使う相手、場所を間違えると誤解されるので注意したい。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?