東京国際セキュリティカンファレンスに参加してきた.
http://www.tokyointersec.com/
その中の講演で「なるほどな〜」と思ったことがあったので書く.
それは,「Firewall(ファイアウォール)がなぜ市場で成功をおさめたか?」である.
その理由は以下の通りであると述べていた.
=> 監査人が設置しろと言ったから
==> Firewallを設置しないと監査が通らない
===> 監査が通らないことによるコストは,Firewallを設置するコストよりも大きい
====> だから設置する
つまりFirewallの設置が進んだのは, 決してFirewallがセキュリティ対策として有効だという認識が広まったからではない.それどころか,多くの組織でFirewallが設置されたとしても,それがきちんと設定され,かつ運用管理されているわけではなく,それゆえ現状ではFirewallがセキュリティ対策として有効に機能しているとはほど遠い状況であると推測されている.
なるほど!,やはり基本はコストか....でも,この話,納得できる話でもある.
またFirewallを設置していないと,訴訟で追求される恐れもあるらしい.
つまりインターネットを利用して商売をするのであれば,業界の常識(最低限のセキュリティ対策)として「Firewallの設置」はすべきであり,それをせずにセキュリティ問題を発生させ,それに関して訴訟を起こしても「しかるべき対策を怠った」と指摘される可能性大だということである.やはり,自らに生じた意識ではなく,外圧なんですね.
また同じような効果は,保険でも生じ得るらしい.保険は「リスク」という変動費用を固定費用に変えるため,経営者には好まれるらしい.そして保険会社もあらたな分野として開拓を始めている.しかし,保険を提供するからには,保険加入者がある一定の条件を満たしていることが重要であり(誰でも保険加入を認めていたら,保険会社が危機に陥るため),その条件として得低レベルのセキュリティ対策が実施されていることが要求される.つまり,保険に加入するために,一定レベルのセキュリティ対策をする必要があるということになるからである.
ってことは,やはり法律か訴訟コストが増すというぐらいの状況が発生しない限り,やはり企業もセキュリティに対する意識は上がらないってことかなと思ったり.そういう意味では,もうすぐ施行される内部統制という外圧は,状況をさらに変化する可能性はあるかなとも思ったり.
しかし,我思う.どこのセキュリティ関連のカンファレンスやシンポジウムに言っても「企業や個人のセキュリティに対する意識は低い,これをどうにかしなければならない」と皆が口を揃えて言っているが,では「そのためになにをすべきか,どうしていくべきか,どうしたらよいのか」の提言がほとんどない.いや,まったくない.まるで自然にそうなっていくのを待っているのか,それとも,そうならない方が議論をしている人達の利益になるから放置しているのかも(?)と疑ってしまいたくなるぐらい,そういう議論がない.本当に「暖簾に腕押し」の議論を繰り返しているようで,滑稽である.
当方はこう思う.ユーザの意識や企業の意識はそうそう変わらないであろう.
やはりコストか法的な軽罰がない以上,そこにお金をかけるという意識は出てこないのが自然であろう.ならば,そういう枠組を作って行くしかない気がする.セキュリティ上の問題が発生した場合,被害者になる側にそういうコストや法的な軽罰を課すとはどういうことだ! と憤慨する方もいるだろう.たしかにおっしゃる通りであり,当方もそうなって欲しくない.が,残念ながら,インタネットに接続した時点で,あなたの使用する計算機は一つの国となり,そしてあなたは国家元首としてその国を守らなければならないのである.でないと,他の国からミサイルを打ち込まれ,そしてあなたの国(計算機)は,他の国の属国(踏み台計算機)となって,さらに他の国を攻撃/侵略するものとなってしまうからである.
うーん,話が変な方向に転んだ.とにかく,セキュリティに対する意識を変えていかなければいけないということは理解できるし,同意である.が,その一方で,その実現は自然に放置したままで醸成されていくとは到底思えない.ならば,どうすべきか,どうしたらよいかという議論をもっとしていかなければならず,当方としては,やはり強制力なくして,この実現は無理だろうと現時点では考えるのだ.どうだろうか?
でも,こういっている時点で,当方も思考停止なのかもしれない.なにかよい方法はないものだろうか...
人は目に見えないものを信じようとしない,そして体験したことのないことはわかりようがないと考える.そして情報セキュリティのリスクは,他のリスクと比較すると比較的小さなものだと考えている人が多い.この状況を変えるためのよい方法は一体なんだろうか?
なおこの会議,無料で参加可能だが,内容は大変興味深いものであった.来年も是非参加しようと思う.