何もセキュリティ対策しないと言う1つの選択肢

「何もしない」というセキュリティ対策:ITproSecurityより

セキュリティ対策は,企業にとって欠かせないものです。それは間違いないでしょう。ただ,このごろ,「実はハイテクによるセキュリティ対策はあまり強固にし過ぎないほうがいいのではないか」と考えることがあります。というのは,次々に登場してくるセキュリティの脅威が,対策をすり抜けるように工夫され,検知・防御が一層困難になるからです。だったら高度な対策を講じなければ脅威の進化も止まるのではないか,という考えです。

現実には,そんなわけにはいかないでしょう。今目の前にある脅威に対処しないわけにはいきませんし,「守らなければ高度化しない」という考えそのものが正しいとは限りません。ただ,あまりにも急ピッチで高度化していく脅威に対し,対策側の取り組み方を見直す必要が出てくるのではないかと思っています。

よく言われる”何もしない”セキュリティ対策。

単にコストで考えれば、それもありかもしれない。

例えばセキュリティの考え方として、

1.何も発生しなければ、事前も事後もコストは必要ないと言う考え方。

2.何か発生してから事後対策として、コストを使うという考え方。

3.事は発生する前に対策を講じておこうという考え方。

この3つくらいが大方の考え方だろう。

セキュリティ専門家的には3を勧める。もちろんである。理由は簡単で事は必ず発生するもので、トータルコスト的に見ても一番安く上がるからからだ。

しかし、そのコストパフォーマンスを計るのは、どの尺度で計るのか?によって結果も変わる。企業イメージの失墜などは計りにくいものだからだ。

1の場合が何もしないと言う考え方。これも考え方としてはありだが、コスト面だけで計って良いのか?疑問に残ってしまう。これはわかっていても、知らずにいても、何もしないと言うことは一緒で、結果も同じである。

CSR的に考えれば、1の場合はあり得ない選択肢になることは言うまでもない。

では2の場合はどうだろうか?これは1に次いで3よりも事前コストがかからない。一方で問題や事故発生時には、3よりもコストがかかり、コスト換算出来ない部分でのロスが多くなる。

セキュリティ対策を本気でしなければならない組織もある。国家や軍事、機密機関、行政など、民間では金融機関などが一般的だろう。セキュリティ対策のアッパーは限りなくあり、上限はない。

しかし、ある程度の対策は民間企業にも求められる必要不可欠なこと。

イタチごっことよく言うところは、上限がないからである。

このある程度の範囲と考え方で、その対策範囲は変わってくる。

日本語の良くも悪くも曖昧な部分の微妙な表現である、ある程度

結局の答えは何処にもない。それは”ある程度”の範囲をどのように、誰が決めるのか?によって変わってくるからだ。

最低限のある程度・・・皆さんの企業ではやっていますか?

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

45の事例から知る【情報セキュリティ標語】実践研修・ケーススタディ

実際の事例を元に作成した、五十音「情報セキュリティ標語」を教材として使用します。

■ 座学の場合:1事例2分程度、45事例すべて実施(90分の研修)
様々な事例を知る ⇒ 基礎知識が身につく
⇒ 身近な事例を自身に置き換えることで、応用できる対応能力スキル向上を目指します。

■ 演習の場合:目安は5分から30分程度、熟考することにより深く身についていきます。
(直近で起きた社内事故や身近な事例等、事例の深掘り次第で時間は変わります)
身近な事故事例をテーマ ⇒ 自ら(グループで)考える
⇒ 他者との討論(発表など)により、多面的なヒントを得ることを目指します。