September 26,2008 posted by Russ Cooper.
セキュリティ製品の購入を検討した際に,何回くらい投資効果(ROI)を質問されただろうか。相当な回数繰り返し尋ねられた人が多いだろう。それに,ROIの見積もりは簡単な作業でない。セキュリティ問題が発生すると,生産性がどの程度低下するのだろう。影響の及ぶ時間はどのように計ればよいのか。給料,販売の損失,評判,被害を基準にするのだろうか。
このようなROI算定方法は,考え方が間違っていると筆者は考えている。セキュリティを全く確保していないシステムで何が「できない」かを自問してみてほしい。そのシステムは,問題なく機能するだろうか。答えは恐らく「機能しない」となるだろう。
問題は,大昔からセキュリティが結果論であることだ。我々はよく「仕事を済ませるのに何が必要で,そのためにはどの製品を買うべきなのか」と考える。これまでなら,ROIに関する検討はこれで終わっていた。自分の会社に新規導入するパソコンを購入するときでも、マイクロソフト社で新たなソフトウエアを設計する状況でも,こうしたやり方が一般的だっただろう。
ここで改めて,別の観点からROIの算定条件を考えてみよう。かなり昔の話になるが、筆者が米MCIに勤めていた当時,英BT(ブリティッシュ・テレコム)および米マイクロソフトと組んで作業するプロジェクト・チームに入ったことがあった。チームの任務は,「ホステッド・イントラネット」の構築。我々が皆さんのサーバーをホスティングし,皆さんが好きな場所からそのサーバーにアクセスできる環境を作るというコンセプトである。うまくいっていたら,大ヒット商品になっていただろう(何せ1997年の話だから,かなり厚顔無恥なアイデアだった)。
筆者はこのチームのセキュリティ担当者であり,「ホステッド・イントラネット」のセキュリティ確保という作業を受け持った。ただ,受け持ったのは良いが,実際のところ一体何をすればよいのかと悩まされた。
プロジェクトの立ち上げ会議は,バージニア州ペンタゴンシティにあるホテル,リッツカールトンで行われたと記憶している。ホテルの大広間で,ハードウエア,ネットワーク,ソフトウエアの専門チームと筆者が一堂に会した。筆者以外のチームはどこも大所帯だった。会議の中で,出席者は「プロジェクトの目標達成に向けて取り組む作業内容を説明する」簡単なプレゼンテーションを行うよう命じられた。筆者は,かのインターネットの父,Vint Cerf氏の指示でプロジェクトに加わったことを思い,「何を話したらよいのだろうか」と怖じ気付いた。
ほどなく自分の番が回ってきた。大広間の後ろにはVintが立っていた。そして筆者は思わず,「えーっと,私は何もしません。皆さんが私の仕事をするのです」と言ってしまった。
その後,「自分にできる仕事はないということです」と説明したが,出席者の話を最後まで聞いて,それぞれが担当部分であらゆるセキュリティ要素が必要だと考えていることが分かった。そこで,仕様にセキュリティを盛り込めば,後になってセキュリティの穴をふさがなくて済むように設計できると考えた。例えば,ネットワーク面ではルーターにファイアウォール機能とアクセス制御リストを設ける必要がある,サーバーは堅牢にするか,接続するユーザーの場所ごとに異なるアダプタを割り当てる機能を設ける必要がある,ソフトウエア面では認定/認証機能を強化する必要がある,といった具合だ。
