2015年のセキュリティとリスクを占う 対策をより良いものにするには？：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

[萩原栄幸，ITmedia]

その3：クライシスが現実に

　悪い予想として2015年は、「クライシス元年」がキーワードとなる。筆者の造語である「パスワード・クライシス」、そして「セキュリティ・クライシス」や「ネット・クライシス」など、様々な面から情報セキュリティは文字通り「危機」を迎える可能性がある。

　既に社会を大混乱の危機に陥らせる「鍵」が作成されているかもしれない。サイバー攻撃対応というレベルならまだいいのだが、一部の有識者は「サイバー戦争」として様々な国家間で水面下の戦闘が始まっているといってもおかしくないと指摘している。

　毎年何億件以上もの情報漏えいが発生し、ネットバンキングやネット通販の商行為では「絶対安全」なものが既に消失している。これまで解説してきたように、2要素認証も3要素認証もワンタイムパスワードも破られ（相対的にはまだ堅牢な部類だが）、絶対に安全なものはない。

　それでも今の人類は、この脆弱なシステムに頼らざるを得ない。相対的な安心を得るために、「わが社の製品を！」「わがシステムは99％防御可能！」という商売が一部で闊歩（かっぽ）している。だが、企業経営者はそういう視点では見ない。自分の企業がセキュリティの被害（損害金額や信用低下など）に遭う“かもしれない”ことについて、「まだ実際に起きてもいないものに金を投じるのは無駄だ」と考えてしまうからだ。だから多くの経営者は、情報セキュリティ予算を「保険」の1つとして見ているに過ぎないと考えられる。

　この視点をどうドラスティックに変えるのか、筆者は常に考えている。確かに「保険」の側面もあるが、「戦略的投資」（決して経費ではない）として自社の成長に貢献すると捉えてもらう必要がある。ベンダーやSIer、コンサルティング会社は、情報セキュリティを自社の製品やサービスの中に組み込むことを考えないといけない。それなのに、従来通りの思考で仕事をしている節がある。そこにイノベーションは存在しないのだ。

　様々な業種業態があるが、企業における“情報セキュリティの軸”はほとんど同じである。しかし、その“解”は企業ごとに異なるので、厄介な代物である。費用対効果の算定はどう取り繕っても「数字の遊び」の領域を脱せないし、それを経営者は肌で感じてしまう。

　コンサルティング会社が作成する分厚い報告書をありがたがるが、それよりもたった1行の文章の方が、遥かに重みがあることも知ってほしい。しかし、このことに気づく日本人経営者は少ない。