不況だから、当然セキュリティ・コストは削減される?
日経ITproの記事「セキュリティ・コスト削減?企業にとっては失うものも大きいはずだ」 からです。
これは、ブルース・シュナイアーさん(「暗号技術大全」「セキュリティはなぜ破られたのか」などの著者)のインタビューの記事です。
-セキュリティとコストについて教えてほしい。不況下ではセキュリティ・コストはまっさきに削られるだろう。そんな中,企業は何をどこまで守るべきなのか。
セキュリティは時間,利便性,可用性を犠牲にして成り立つものだ。にもかかわらず,セキュリティの効果測定は非常に難しいという問題がある。そのため,短期的には,企業などでコストダウンの要求が高まって「リスクを背負っても構わないから,セキュリティ対策にかかるコストを削減しよう」という動きが出てくるかもしれない。しかし,企業はセキュリティ・コストを削減することで,信頼性など逆に失うものも大きい。
それとは別に,一つ面白い動きがある。不況下では多くの企業が新しい機器を買えないことが多い。例えばサーバー・マシン,データベースやOSといったソフトウエアでも,古いものをそのまま使って,なかなか新規購入をしないのだ。そうすると古いものを稼働させるために,メンテナンス費用などを使うことになるのだが,ここにセキュリティ費用も含まれる。つまり,セキュリティは「新しいものを買う」よりも安価な代案になりえるのではないか。
-代案としてのセキュリティとは何か。物を買わないということは,教育やポリシーの強化になるのだろうか。
実際にはさまざまなソリューションの組み合わせになるだろう。ただし,私はセキュリティ教育にはあまり意味がないと思う。人は「その行為の意味が明確に見えること」しかやろうとしないからだ。したがって,システムが自動的にソリューションを実行する仕組みの方が上手くいくだろう。
やはり「トレード・オフ」ということですね。「セキュリティ・コスト削減で何を失うのか、それを考えよう」ということになるのですが、「セキュリティの効果測定は非常に難しい」ということは、それを考えるのも難しいということになります。
あとは、セキュリティを「コスト」と考えるのか、「投資」と考えるのか、それによっても大きく変わってくると思います。
「投資」と考えるのも、「セキュリティの効果測定は非常に難しい」ということですから、難しいということになりますけど…
教育の件は、私も同感です。教育(特にユーザーに対する、意識改革・リテラシー教育)には大きな効果は期待できないと思います。この件は、いづれ別の機会に私の考えを書いてみたいと思います。
| 固定リンク
「ニュース」カテゴリの記事
- 「標的型サイバー攻撃の特別相談窓口」設置(2011.10.25)
- 米軍の無人偵察機制御システムがマルウェアに感染か(2011.10.13)
- 企業の半数近くがソーシャルエンジニアリングを経験(2011.09.26)
- ネット検索で危ない有名人ランキング(2011.09.21)
- ネット犯罪による損失、日本は8370億円(2011.09.15)
この記事へのコメントは終了しました。
コメント
遅くなりましたが明けましておめでとうございます。
今年もよろしくです。
最後の「教育」のところ興味があります。
シュナイアーさんの言うことは理解できるのですが、どこまでは教育に期待できるのか、期待できないところは、どうすれば良いのか?
シュナイアーさんには会ったことがありますよ。仕事でですけど。
青本にサインしてもらいました。
投稿: taka | 2009年1月19日 (月) 23時06分
>takaさん
今年もよろしくお願いいたします。
シュナイアーさんにお会いになったのですね。
うらやましいです。
教育については、私もシュナイアーさんに直接聞いてみたいですし、私の考えは後日ここで書きたいと思います。
投稿: Hase | 2009年1月19日 (月) 23時37分