月別アーカイブ: 2019年12月

ITセキュリティのほど良いところ

サイバー空間はまだまだ成長期であり不安定。セキュリティのあり方もスタンダードがどこなのか迷走しています。でもいずれは誰もがちょうど良いと思える在り方に収束していくはずです。それがどのへんなのか、当たりを付けつつ推進していくのが我々のお仕事なのかなと思っています。

家で言うと、セキュリティを強化するぜぃ!と言って窓という窓に鉄格子をはめるのが妥当なのでしょうか。なんか暗いし雰囲気悪い。どこの牢屋ですかw。それに、洗濯物どうするんだ。ご近所さんの見る目も心配ですね。

普通、窓なら「クレセント鍵」と呼ばれるあれですよね。空き巣が窓を割って鍵を開けるケースもあるアレ。

内側にしても、ドアというドアに玄関と同じレベルの鍵を設置するのでしょうか。色々マズい状況が思い浮かんできますね。

トイレなら「サムターン」の鍵だけど、外からでも10円玉とかで回せば開けられたり。

どうしてそれが普通なんでしょうか。家を借りる時に内見してても、そうなっていれば違和感を感じないでしょう。

その地域の治安が悪いという話を聞くと、やっぱりもう少しセキュリティを意識したオートロックの玄関のところだとか、1Fなら窓側は雨戸が閉められるとか、欲しくなるんじゃないでしょうか。

一方で、リスク受容という考え方もあります。一切セキュリティ対策をしない、もしくはもう少しセキュリティに投資してもいいけど、事故が起こった際に想定される損害を考えると、費用対効果が期待できないからやめておく、というもの。事なかれ主義の日本の大企業ではその選択は難しくやや過剰投資の傾向にあり、攻撃された経験のない中小企業は消極的に(数値的な根拠なく)その選択肢を選んでいるような気がします。

私はリスク受容は大いに結構だと考えています。一昔前ならサイバー攻撃を受けることも珍しかったですが、もはや日常茶飯事。サイバー攻撃による情報流出によって責任者が首を切られていてはいくつ首があっても足りないご時世になってきています。売上とセキュリティ投資のバランスを見ながら、あえて対策をしないという英断もあって良いと思います。

セキュリティ投資は保険のようなもので、200万円の売上のあるECサイトがあったとして、300万円のセキュリティ投資をすることはありえないのです。売上をあなたの年収に読み替えたらよく分かるのではないでしょうか。

じゃあ、100万円いける? いやいや、それでは明日のメシが食えない。じゃあ、20万円? ちょっとやりすぎな気はするけど、いけなくはない。1万円? うーん、それならもっと投資した方が、もしもの時を考えるといいかも。もしくは投資せずに貯金に回しておいて、何かあったときは貯金から拠出する。…とかね。

対策したところで対策していなかったところを攻撃されたら何の意味もない、というのも保険と近しいところです。外部からのサイバー攻撃の対策をしっかりしていたものの、内部不正で大変なことになったとか。今どきどうせ入院させてもらえないから保険の入院部分はなしでいいやとしてたら、しっかり入院することになってしまったとか。


セキュリティでメシを食っていくのであれば、セキュリティ原理主義者にはならないよう、気をつけたいところですね。こうやってWordPress運用している人を指差して「ばーか!」って言っている程度の人はプロではないと思います。何が問題で、どのようにすれば安全に使えるのか、自分事として理解して提案できなくてはダメです。

私は過去、Drupalのせいでサーバをぶっ潰された経験があるので、それに比べればWordPressの安定感や使いやすさには満足しています。ぜひぜひ、自分で運用しながら本質的な問題を理解していけるハッカーが日本に増えていくことを期待しています。