「何もしない」というセキュリティ対策:ITproSecurityより

セキュリティ対策は,企業にとって欠かせないものです。それは間違いないでしょう。ただ,このごろ,「実はハイテクによるセキュリティ対策はあまり強固にし過ぎないほうがいいのではないか」と考えることがあります。というのは,次々に登場してくるセキュリティの脅威が,対策をすり抜けるように工夫され,検知・防御が一層困難になるからです。だったら高度な対策を講じなければ脅威の進化も止まるのではないか,という考えです。

現実には,そんなわけにはいかないでしょう。今目の前にある脅威に対処しないわけにはいきませんし,「守らなければ高度化しない」という考えそのものが正しいとは限りません。ただ,あまりにも急ピッチで高度化していく脅威に対し,対策側の取り組み方を見直す必要が出てくるのではないかと思っています。

よく言われる”何もしない”セキュリティ対策。

単にコストで考えれば、それもありかもしれない。

例えばセキュリティの考え方として、

1.何も発生しなければ、事前も事後もコストは必要ないと言う考え方。

2.何か発生してから事後対策として、コストを使うという考え方。

3.事は発生する前に対策を講じておこうという考え方。

この3つくらいが大方の考え方だろう。

セキュリティ専門家的には3を勧める。もちろんである。理由は簡単で事は必ず発生するもので、トータルコスト的に見ても一番安く上がるからからだ。

しかし、そのコストパフォーマンスを計るのは、どの尺度で計るのか?によって結果も変わる。企業イメージの失墜などは計りにくいものだからだ。

1の場合が何もしないと言う考え方。これも考え方としてはありだが、コスト面だけで計って良いのか?疑問に残ってしまう。これはわかっていても、知らずにいても、何もしないと言うことは一緒で、結果も同じである。

CSR的に考えれば、1の場合はあり得ない選択肢になることは言うまでもない。

では2の場合はどうだろうか?これは1に次いで3よりも事前コストがかからない。一方で問題や事故発生時には、3よりもコストがかかり、コスト換算出来ない部分でのロスが多くなる。

セキュリティ対策を本気でしなければならない組織もある。国家や軍事、機密機関、行政など、民間では金融機関などが一般的だろう。セキュリティ対策のアッパーは限りなくあり、上限はない。

しかし、ある程度の対策は民間企業にも求められる必要不可欠なこと。

イタチごっことよく言うところは、上限がないからである。

このある程度の範囲と考え方で、その対策範囲は変わってくる。

日本語の良くも悪くも曖昧な部分の微妙な表現である、ある程度

結局の答えは何処にもない。それは”ある程度”の範囲をどのように、誰が決めるのか?によって変わってくるからだ。

最低限のある程度・・・皆さんの企業ではやっていますか?

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサーオルタナティブ・ブログ
日々起きる目の前の「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て、考えるように意識しています。 人の「こころ」に興味を持ち、仏教と密教からヒントを得るべく現在研究中。