年初早々からマイナンバー制度が始まるということもあり、テーマをセキュリティにしたが、とにかくセキュリティほどやっかいなものはない。やればやるだけ守れるものというものでもないし、何もしなければ不安は残る。保険のようなもので未然に防止するための対策だが、最も違うのは、専門家であってもなかなか事故について予測できないところに、セキュリティの難しさがある。生保や損保のサービスとは、被害の内容や大きさが見積もれないところが違う。しかしもっとも怖いのは、セキュリティ事故を起こした際に何度もニュースやインターネットで繰り返し伝えられる、ある意味での社会的制裁だろう。これはまさに経営リスクそのものだ。企業のブランド価値は落ち、長年蓄積されてきた経験価値としてのUXは吹き飛ぶ。
まず、セキュリティを語るうえで短縮語が頻出するのでその意味や定義を記す。
CSO (Chief Security Officer)
CEOが最高経営責任者であるのに対してCSOはセキュリティでの最高責任者を意味する。CISOの場合は情報も兼務し、情報セキュリティ最高責任者となる。
SOC (Security Operation Center)
エキスパートを中心に、ITシステムのセキュリティ面に関する各種情報提供や監視、分析を行う、場所や組織を指す。
CSIRT (Computer Security Incident Response Team)
セキュリティに関わるインシデントに対処するための組織の総称。各種関連情報を収集分析し、対応方針や手順策定などを行い、万一事故が発生した場合はコントロールセンターの役割を果たす。
上記のうちSOCは、当社では1996年から開設しており、セキュリティのエキスパートが約20年前から活躍しているが、CSIRTについては、セキュリティ事故が頻発する昨今は企業内設置が求められており、企業経営上での急務の課題になりつつある。セキュリティはコストとの関係はほぼ相関が取れていると思うが、UXとは必ずしも相関が無い、むしろセキュリティを強化すればUXが落ちることも多々ある。
今回はその相関も議論しながら、未来型セキュリティのあり方をUX視点で考えてみる。