Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

セキュリティにも”妥当な”コストをかけよう

Yahoo!Japanニュースに気になる記事が載っていました。

news.yahoo.co.jp

 

インパクトある記事の標題ですが、弊社の営業?の発言と一瞬思ってしまいました。

日本企業や日本人の多くはいまだに安全と水はタダだと思っている節がある。あるセキュリティを専門とする外国企業が日本企業を回った時、セキュリティの重要性を認めながらも余分なコストはかけないという。

 

コンサルタントなどという業務をしていると、この考え方に近い『発言』は得意先だけではなく、(残念ながら)自社サイドからも聞こえてきます。タダのセキュリティ技術であったり、タダのノウハウなるものは世の中にネット公開されているものまで含めて無い訳ではありません。無論それらにも一定の効果があり、特に規模の小さな組織体(中小企業や個人)では予算や人材の関係を考慮するとそれらを使うのも妥当です。

ですが、『それなりに大きな企業の担当者』でも無料なら無料を採用、あるいは限りなく無料にしてとリクエストしてくる方が多いという実感です。

例えば、無料版のアンチウィルス・ソフトが有償版との違いを何であるのかをよく理解しないまま、カタログスペックだけを見れば、同じような効果があるように見えます。しかし現実にはパターンファイル更新頻度が違っていたり、検知しないウィルスが多かったり、リアルタイム検索で業務システムに影響が出たり・・・実は色々と無料版を入れるにしても考えなければならない事があるはずです。

 

英国のサイバーセキュリティ権威のJamie Saunders氏は、記事の中でこんな風に言っています。

リスクを回避しておきさえすれば万が一の時にも余計なコストがかからない。身近な例が福島第一原発の事故だ。万が一を想定し、ローカル電源が止まらないように設計することをコストに織り込んでおけば済んだ話だ。ただ単にコストが上がることを言い訳にしてきたが、万が一の被害のコストも組み込んでコスト比較するという姿勢がなければ、同じ過ちを必ず繰り返す

くしくも3月11日ですので、セキュリティ(安全)について今一度考える事もよい事かも知れません。その中では是非、セキュリティには『妥当』なコストが発生するのが当たり前である、そうした意識も持って頂ければと思います。

 

日本企業のあるある、、という部分でJamie Saunders氏は日本でも多い閉域網のセキュリティについてもコメントしていました。

うちの重要な部署はインターネットから切り離しているから大丈夫、という企業がいたが、ウィルスに侵されていた」と述べている。隔離していてもなぜウィルスに移されたか。もし誰かが大事な隔離された部屋に入り、わざとウィルスの感染したUSBメモリを落としていくだけでよい。それも誰もが見たくなるようなタイトルをUSBメモリにつけておく。

このケースはいわゆる『Stuxnet』のパターンそのままですので、流石に多くの日本人がひっかかる訳ではないかと思いますが、WannaCryでも閉域網が『何故か』被害を受けたケースが日本企業も含めてたくさんありましたので、漏れが無いかを確認する事も大事かも知れません。

 

 

東日本大震災からもう7年。

震災により犠牲となられた方々に対し改めて追悼の意も込め、

水も安全も未来永劫タダではないんだという意識が、

日本社会での共通意識になる事を祈念します。

 

「安心・安全」のマーク

 

更新履歴

  • 2018年3月10日PM(予約投稿)