« 「セキュリティ」と「安心」 | トップページ | 「DNSキャッシュポイズニング対策」の資料を公開 »

2009年1月14日 (水)

不況だから、当然セキュリティ・コストは削減される?

日経ITproの記事「セキュリティ・コスト削減?企業にとっては失うものも大きいはずだ」 からです。

これは、ブルース・シュナイアーさん(「暗号技術大全」「セキュリティはなぜ破られたのか」などの著者)のインタビューの記事です。

-セキュリティとコストについて教えてほしい。不況下ではセキュリティ・コストはまっさきに削られるだろう。そんな中,企業は何をどこまで守るべきなのか。

 セキュリティは時間,利便性,可用性を犠牲にして成り立つものだ。にもかかわらず,セキュリティの効果測定は非常に難しいという問題がある。そのため,短期的には,企業などでコストダウンの要求が高まって「リスクを背負っても構わないから,セキュリティ対策にかかるコストを削減しよう」という動きが出てくるかもしれない。しかし,企業はセキュリティ・コストを削減することで,信頼性など逆に失うものも大きい。

 それとは別に,一つ面白い動きがある。不況下では多くの企業が新しい機器を買えないことが多い。例えばサーバー・マシン,データベースやOSといったソフトウエアでも,古いものをそのまま使って,なかなか新規購入をしないのだ。そうすると古いものを稼働させるために,メンテナンス費用などを使うことになるのだが,ここにセキュリティ費用も含まれる。つまり,セキュリティは「新しいものを買う」よりも安価な代案になりえるのではないか。

-代案としてのセキュリティとは何か。物を買わないということは,教育やポリシーの強化になるのだろうか。

 実際にはさまざまなソリューションの組み合わせになるだろう。ただし,私はセキュリティ教育にはあまり意味がないと思う。人は「その行為の意味が明確に見えること」しかやろうとしないからだ。したがって,システムが自動的にソリューションを実行する仕組みの方が上手くいくだろう。

やはり「トレード・オフ」ということですね。「セキュリティ・コスト削減で何を失うのか、それを考えよう」ということになるのですが、「セキュリティの効果測定は非常に難しい」ということは、それを考えるのも難しいということになります。
あとは、セキュリティを「コスト」と考えるのか、「投資」と考えるのか、それによっても大きく変わってくると思います。
「投資」と考えるのも、「セキュリティの効果測定は非常に難しい」ということですから、難しいということになりますけど…

教育の件は、私も同感です。教育(特にユーザーに対する、意識改革・リテラシー教育)には大きな効果は期待できないと思います。この件は、いづれ別の機会に私の考えを書いてみたいと思います。

|

« 「セキュリティ」と「安心」 | トップページ | 「DNSキャッシュポイズニング対策」の資料を公開 »

ニュース」カテゴリの記事

コメント

遅くなりましたが明けましておめでとうございます。
今年もよろしくです。
最後の「教育」のところ興味があります。
シュナイアーさんの言うことは理解できるのですが、どこまでは教育に期待できるのか、期待できないところは、どうすれば良いのか?
シュナイアーさんには会ったことがありますよ。仕事でですけど。
青本にサインしてもらいました。

投稿: taka | 2009年1月19日 (月) 23時06分

>takaさん

今年もよろしくお願いいたします。

シュナイアーさんにお会いになったのですね。
うらやましいです。

教育については、私もシュナイアーさんに直接聞いてみたいですし、私の考えは後日ここで書きたいと思います。

投稿: Hase | 2009年1月19日 (月) 23時37分

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/27117581

この記事へのトラックバック一覧です: 不況だから、当然セキュリティ・コストは削減される?:

« 「セキュリティ」と「安心」 | トップページ | 「DNSキャッシュポイズニング対策」の資料を公開 »