前回のエントリーで書いたセキュリティの話を続けたい。
企業でも学術機関でも、スタッフが自分で買ってきた無線LANのアクセスポイントを設置し、勝手に無線LAN環境を作ってしまっているというケースは多い。ネットワーク管理者が把握できない無線ネットワークが作られてしまうと、不正アクセスを受けたりコンピュータウイルスの感染を許したり、あるいは情報漏洩につながりかねない。だから日本の組織の多くは、無線LANアクセスポイントの勝手な設置は禁止しているというケースが大半だ。
だが前回の冒頭に登場したもらったIT企業の幹部は、取材の折りにこんな話をしていた。
「わたしの知っているアメリカの企業は、新しい無線ネットワークが勝手に作られた場合、すぐにその場所が特定できるような仕掛けを施しておいた。そして無線LANに誰かが接続してきたら、すぐにその会社のセキュリティポリシーが自動的にダウンロードされるような仕組みを作っておいた。『どうぞご自由に無線LANは使ってください。でもセキュリティポリシーは守ってね』というわけだ。ぼくはこれが、本当のセキュリティの考え方だと思う。日本のように何でもかんでも禁止というのは間違ってるんじゃないですか」
このアメリカ企業の手法が正しいかどうかは別にしても、日本企業が相変わらず「リスクゼロ」を求めてしまうケースが多いのは事実だろう。
最近はようやくセキュリティマネジメントの考え方が普及してきたとはいうものの、経営者の中にはいまだにセキュリティに対し、「リスクゼロ」を求める人が少なくないのである。「絶対に誰にも侵入されず、情報も漏洩しないシステムを作れ!」とIT部門に要求してしまうのだ。しかし現実的にはそんなことは不可能だし、安全のパーセンテージをヒトケタ上げるだけでも莫大なコストがかかってしまう。セキュリティにも当然ROI(投資対効果)の考え方が必要で、本来ならリスクとベネフィットのバランスをきちんと保たなければならない。
日本の組織のこうした考え方は、社会のさまざまな局面に表出している。
たとえば環境問題。
2003年春、「ダイオキシン―神話の終焉(おわり)」(日本評論社)という書籍が話題になったことがあった。内容をかいつまんで言えば、「サリンの2倍、青酸カリの1000倍の猛毒」と喧伝されてきたダイオキシンの危険性について「根も葉もない妄想であり、ダイオキシン対策に巨費を投じるのはカネの無駄」と切って捨てている刺激的な内容である。東大生産技術研の渡辺正教授らが著した。
ダイオキシンといえば焼却炉から排出されるものだというのが定説だとされ、このために2000年にはダイオキシン特別措置法が施行され、焼却炉を高価なハイテク設備のものへと置き換えることが求められてきた。その総予算は莫大な金額に上り、全国で約40兆円に達しているという試算もある。
だが同書は、ダイオキシンの深刻な被害は過去に報告されていないうえ、焼却炉由来のダイオキシンは微々たる量で、ハイテク焼却炉への莫大な公費の支出はひどい無駄だったと指摘したのである。この本が出た直後、ダイオキシン問題の報道で知られたある全国紙記者は、「急性毒性の被害はこれまでの報告では生じていない。しかし、だからといって『なんでもない物質』といえるのだろうか」「被害が出てからでは遅い」と訴えた。また別の学者も「証拠がなければ何もできないという考え方は間違いで、予防原則が重要だ」と批判した。ダイオキシン反対市民運動側のリアクションは、おおむねこうした論調だったのである。
渡辺教授らのスタンスは「環境リスクはどんなものもゼロにするのは不可能であり、費用対効果とのバランスを考えていかなければいけない」というもので、ダイオキシン反対運動の「被害が判明していなくてもリスクをゼロにせよ」という意見とは真っ向から対立したのである。
果たしてハイテク焼却炉が40兆円に見合うベネフィットがあったのかどうかという議論はここでは置いておくとしても、マネジメントに基づいた実際的な議論は、日本社会では相変わらず乏しい。
企業でも学術機関でも、スタッフが自分で買ってきた無線LANのアクセスポイントを設置し、勝手に無線LAN環境を作ってしまっているというケースは多い。ネットワーク管理者が把握できない無線ネットワークが作られてしまうと、不正アクセスを受けたりコンピュータウイルスの感染を許したり、あるいは情報漏洩につながりかねない。だから日本の組織の多くは、無線LANアクセスポイントの勝手な設置は禁止しているというケースが大半だ。
だが前回の冒頭に登場したもらったIT企業の幹部は、取材の折りにこんな話をしていた。
「わたしの知っているアメリカの企業は、新しい無線ネットワークが勝手に作られた場合、すぐにその場所が特定できるような仕掛けを施しておいた。そして無線LANに誰かが接続してきたら、すぐにその会社のセキュリティポリシーが自動的にダウンロードされるような仕組みを作っておいた。『どうぞご自由に無線LANは使ってください。でもセキュリティポリシーは守ってね』というわけだ。ぼくはこれが、本当のセキュリティの考え方だと思う。日本のように何でもかんでも禁止というのは間違ってるんじゃないですか」
このアメリカ企業の手法が正しいかどうかは別にしても、日本企業が相変わらず「リスクゼロ」を求めてしまうケースが多いのは事実だろう。
最近はようやくセキュリティマネジメントの考え方が普及してきたとはいうものの、経営者の中にはいまだにセキュリティに対し、「リスクゼロ」を求める人が少なくないのである。「絶対に誰にも侵入されず、情報も漏洩しないシステムを作れ!」とIT部門に要求してしまうのだ。しかし現実的にはそんなことは不可能だし、安全のパーセンテージをヒトケタ上げるだけでも莫大なコストがかかってしまう。セキュリティにも当然ROI(投資対効果)の考え方が必要で、本来ならリスクとベネフィットのバランスをきちんと保たなければならない。
日本の組織のこうした考え方は、社会のさまざまな局面に表出している。
たとえば環境問題。
2003年春、「ダイオキシン―神話の終焉(おわり)」(日本評論社)という書籍が話題になったことがあった。内容をかいつまんで言えば、「サリンの2倍、青酸カリの1000倍の猛毒」と喧伝されてきたダイオキシンの危険性について「根も葉もない妄想であり、ダイオキシン対策に巨費を投じるのはカネの無駄」と切って捨てている刺激的な内容である。東大生産技術研の渡辺正教授らが著した。
ダイオキシンといえば焼却炉から排出されるものだというのが定説だとされ、このために2000年にはダイオキシン特別措置法が施行され、焼却炉を高価なハイテク設備のものへと置き換えることが求められてきた。その総予算は莫大な金額に上り、全国で約40兆円に達しているという試算もある。
だが同書は、ダイオキシンの深刻な被害は過去に報告されていないうえ、焼却炉由来のダイオキシンは微々たる量で、ハイテク焼却炉への莫大な公費の支出はひどい無駄だったと指摘したのである。この本が出た直後、ダイオキシン問題の報道で知られたある全国紙記者は、「急性毒性の被害はこれまでの報告では生じていない。しかし、だからといって『なんでもない物質』といえるのだろうか」「被害が出てからでは遅い」と訴えた。また別の学者も「証拠がなければ何もできないという考え方は間違いで、予防原則が重要だ」と批判した。ダイオキシン反対市民運動側のリアクションは、おおむねこうした論調だったのである。
渡辺教授らのスタンスは「環境リスクはどんなものもゼロにするのは不可能であり、費用対効果とのバランスを考えていかなければいけない」というもので、ダイオキシン反対運動の「被害が判明していなくてもリスクをゼロにせよ」という意見とは真っ向から対立したのである。
果たしてハイテク焼却炉が40兆円に見合うベネフィットがあったのかどうかという議論はここでは置いておくとしても、マネジメントに基づいた実際的な議論は、日本社会では相変わらず乏しい。
しかし発ガン性物質といわれ、使用が禁止されてしまいした。
東南アジアではマラリアの予防に使われていたDDTが、使用不可となり患者数が激増しました。
メリットとデメリット(費用対効果)の問題は色々なところにありそうです。
80:20の法則でしょうか。日本は職人気質で何でも完璧なものを求める傾向があります。そこが強みになることもあると思いますが。
こういう発想がリスクマネジメントの範囲に限定されているウチはまだマシなのですが、往々にしてそういう発想の人々は、全てにおいてコストセンスがないので、放置しておくと会社の収益構造を悪化させます。
費用対効果をきちんと勘案できないセキュリティ専門家はいませんというか、それがきちんとできない人はセキュリティ専門家ではありません。現状の改善や費用対効果を考えなくてもかまわないセキュリティマニアはことのほか多いのは仰る通りです。スラッシュッドットジャパンやブログなんかには大量に見かけます。またやっかいなことに単純な”1”か”0”の論理は子どもにはウケるのですよね。
すごく難しくないですか?
どこぞのCMみたいですが「なにも起こらない」
のがあるべき姿なのですから。
コスト意識のないセキュリティ屋の存在には
そんな背景もあるのではないでしょうか。
「どうぞ使ってね。でも守ってください。」でも、もし抜け道があった場合、社会は許してくれない。企業が一番取り締まりたいのはクラッカー(一般的にはハッカー)ではなくて内部の不届き者です。
リスクとベネフィットのバランスマネジメントにはアグリーですが、現状の性悪説=セキュリティマネジメントでは、むずかしいかと思います。
セキュリティと利便性のバランスという点で議論するべきかと思います。
銀行の裏で動くシステムは確かにリスクゼロが良いとは思います。その業務に携わっている人は「リスクゼロ」を限りなく求められますが、ストレスを発生させる仕事のふり方をする人が非常に多いです。
高度なセキュリティに関する技術、コンピュータの更新技術に注目して、有意義な業務になるように考えられる管理者というのは存在しないのでしょうかね…。
費用対効果をきちんと勘案していると自称する人が↑のようなことを言うとき、それが勝手な思い込みかもしれないんですよね。初めてその手法を知った人がはたしてリスクをきちんと評価できるのか疑問。「専門家はゼロイチでしか言ってない」なんて発言は、「サイバーノーガード戦法」のていのいい言い回しかも。