「セキュリティは技術の問題ではない。セキュリティ技術の進歩だけで,セキュリティ・レベルが向上することはない。セキュリティは“人”の問題,例えば,ビジネスの問題——ビジネスとして儲かるかどうか,ビジネスとしてコストがどのくらいかかるのか——といった問題である。セキュリティ向上の動機だけで,企業が適切なセキュリティ対策を施すことはない」——。セキュリティの専門家であるBruce Schneier氏は5月13日,セキュリティ関連の講演会/展示会「RSA Conference 2005 Japan」において講演した。

 Bruce Schneier氏は米Counterpane Internet SecurityのCTO(最高技術責任者)であり,暗号アルゴリズム「Blowfish」と「Twofish」の開発者でもある。また,「Beyond Fear」「Secrets and Lies」「Applied Cryptography」といった著作でも知られる。IT Proでは,同氏が毎月発行しているニュース・レター「CRYPTO-GRAM」の一部を日本語に訳して公開している。以下,同氏の発言内容の一部をまとめた。

 企業や組織がセキュリティを向上させようとするとコストがかかる。機能が制限され,利便性も低下する。その結果,ユーザーや従業員からは文句が出るかもしれない。

 かといって,セキュリティ対策を施さないと,攻撃を受けたりウイルス被害に遭ったりするかもしれない。そうなると,マスコミは騒ぎ,顧客は怒り,会社の信用は失墜するだろう。国によっては,法に触れる可能性もある。

 そこで,多くの企業や組織は,「(同じ業界の)まわりのみんながやっていることだけはやっておこう」という方策を採る。これが,ファイアウオールが売れた理由である。ファイアウオールは多くの企業で導入され,大きな市場になった。これは,「ファイアウオールはセキュリティの向上に効果的だから」と判断されたためではない。実際,不適切な設定をしているファイアウオールは,インターネット上に多数存在する。

 ファイアウオールが導入されているかどうかは,セキュリティ監査の際にまずチェックされる。このため,一部の企業が導入し始めて,それに合わせて別の企業も導入しているのが現状だ。セキュリティ上の理由で導入しているわけではない。その証拠に,セキュリティ向上に有効な暗号化メールの導入は一向に進んでいない。

 効果的なセキュリティ対策を実施するには,その企業のCEO(最高経営責任者)に,セキュリティの観点以外からセキュリティの必要性を理解させる必要がある。

 セキュリティがビジネスに直結すれば話は簡単だが,まず難しい。通常は,セキュリティはコストがかかるだけだ。そこで,「Regulation(法規制)」「Liabilities(責任)」「Competition(競合)」——以上3つを強調して,セキュリティの重要性を訴えるとよいだろう。

 例えば,「セキュリティ対策を実施しないと法に触れる」や「責任問題になる」,あるいは「競合企業はこれだけセキュリティに力を入れている」——といった具合に訴えかけて,セキュリティの重要性に目を向けさせるのである。特に,責任問題を強調すると効果があるだろう。

(勝村 幸博=IT Pro)