「コストの問題にならない限り,経営者はセキュリティを意識しない」――。セキュリティの専門家であるBruce Schneier氏は5月16日,IT Proの取材に対して強調した(写真)。
同氏は以前から,セキュリティは技術の問題ではなく,ビジネス(コスト)の問題であることを,著作や講演などで強調している(関連記事)。同氏がそのように強調し始めたのは,1999年ごろ。当時はもちろん,「現在でも,多くの人はセキュリティを技術の問題だととらえている」(Schneier氏)という。「ビジネスの問題としてとらえないと,全体のセキュリティ・レベルは向上しない」(同氏)。以下,Schneier氏の発言内容の一部をまとめた。
現場のITマネージャなどはセキュリティの重要性を分かっている。だが,経営者にセキュリティ対策の必要性を認識させることは難しい。経営者が意識するのはコストだけ。いくら脅威を唱えても,コストの問題にならない限り,経営者がセキュリティに投資することはない。
そこで期待されるものの一つが「法規制」である。法律が要求する監査に通るためには,経営者はセキュリティ対策にお金をかける。監査に通らなければ,法律違反になってビジネスを継続できないからだ。また,監査を受けるのにもコストがかかるので,監査に落ちると,必要以上のコストがかかることになる。そこで経営者としては,できるだけ早く監査に通るように,セキュリティにお金をかける。
実際,米国ではSOX法(用語解説)が要求する監査に合格するために,企業が情報セキュリティに投資するようになっている。セキュリティ・マネージメント・サービスを提供している自社(米Counterpane Internet Security)の顧客数は,SOX法施行後増えている。
「企業責任」を強調として,経営者にセキュリティの重要性を訴える方法もある。だが,「責任」は形のないもの,不明確なものなので動機付けとしては弱い。「責任を果たさないと,顧客などに被害を与えた場合,対策に必要なコスト以上のコストがかかる」ということを強調する必要がある。
ただしこの場合でも,セキュリティ対策にかかるコストや,対策の不備によって発生するコストが定量的に分かりにくい。具体的なコストが分からないと経営者はお金を出さない。
これらの定量評価に有用なのは,情報セキュリティに関する保険である。しかしながら,保険会社にとっても料率の設定などが困難で,(米国では)よい商品になっていないのが現状だ。実際,ほとんど利用されていない。だが,保険会社各社は改善を続けているので,よい商品がそのうち登場するだろう。よい商品が登場すれば,有用なセキュリティ・ツールになる。いつになるかは分からないが,ゆくゆくは人気商品になるだろう。
(勝村 幸博=IT Pro)
