Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

セキュリティ対策にはコストがかかる

※本記事は「3分で読める! 今週のITセキュリティ(2004/7/16号)」に掲載されました

「セキュリティ対策にはコストがかかる」といえば、「何を今さら」と思われるかもしれない。ウイルスソフトの導入やファイアウォール、認証サーバはもちろん、社内教育、セキュリティポリシーの策定、保険……、と対策を講じれば、その分コストがかかる。

オープンソースが台頭したことにより、高性能OSやウェブサーバ、データベースなど、「無料」で利用できるようになった。ハードウェアも同様だ。「ムーアの法則」のとおり、高速なコンピュータが、手ごろな価格で手に入る時代だ。

小規模であれば、低コストでシステム構築が行える。いや、小規模サービスだけとは限らない。大手サイトでもオープンソースを採用し、コスト削減を実現している企業も増加している。この動きは今後も続くと思われる。

今、最もコストがかかるもの、それはソフトウェアでもハードウェアでもない。それは「セキュリティ」ではないだろうか。

「セキュリティ対策にはコストがかかる」。これは誰もが頭の中で理解していることだ。しかし、売上に直接寄与しない、むしろ大きなコストとなってしまう「セキュリティ」に対し、積極的になれない企業も多い。それが現実だ。

●適正価格の必要性

以前、「Web Application Securityフォーラム コンファレンス」へ参加し、高木浩光氏による「安全なWebアプリ発注の適正価格化に向けて」という講演のレポートを執筆した。同講演では、ウェブアプリケーションの開発において、セキュリティに不安があるシステムが多数稼働していることが実例を持って示された。同講演では、その背景に業務委託の形態や、落札競争により、「セキュリティまで開発コストがまわらない現実」があると指摘された。

・安全なWebアプリ開発に正当な報酬を
http://www.itmedia.co.jp/enterprise/0405/26/epn09.html

また、発注側にもセキュリティの知識が乏しく、具体的なセキュリティ対策について仕様書レベルでは論じられないことも原因だと同氏は語っている。今後セキュアなウェブアプリケーション環境を実現するには、「適正価格」というものがが必要ではないかと問題提起され、講演は締めくくられた。

高木氏も講演中に指摘したが、「ログイン」部分など、セキュリティ関連箇所の開発は、一般的なシステム開発者では手に負えない場合も多い。めまぐるしく変化するセキュリティホールについて情報を収集し、さらにその部分の開発について熟知していないと、知らず知らず無防備なかたちとなってしまうためだ。セキュアなシステムを開発するには、セキュリティに強いエンジニアが必要で、コストもかかる。

当然だが、安全なシステムには「それなりのコスト」が発生するのである。しかし、世の中の流れはデフレと低価格競争で、開発単価が下がっている。誰がそのセキュリティのコストを負担するべきなのだろうか?

「誰も負担していない」ケースもある。つまり、セキュリティに不安があるシステムが稼働しているが、まだ脆弱性が突かれていなかったり、流出事件として表にでていないだけ、という場合だ。事実、大手企業や政府関連団体から、非常にシンプルな脆弱性のために、情報漏洩し、問題も発生している。

これは一概に開発側が悪いわけではない。セキュリティへの開発費が支給されなければ、当然開発もできない。かといって発注者が悪いかといえば、そうでもない。世の中のデフレというニーズに応えた結果、企業が生き残る上で選ばざるえない道だったからだ。

誰だって、リスクは背負いたくない。あえてセキュリティホールなど作るということはない。これまでは苦渋の選択が強いられていたのだ。しかし、昨今個人情報漏洩が大きく取り上げられるようになった。今後は、無視できない問題となりつつある。

●発注者にも管理責任が求められる「個人情報保護法」

セキュリティは、なにもウェブアプリケーション特有のミクロな問題ではない。ほとんどの企業が個人情報や機密情報を扱っていることを踏まえれば、全社的な対策が必要だと思われる。社内の教育システムやセキュリティポリシーの策定、実践、保険の導入など、個人情報や機密情報の漏洩を防ぐため、コストと向き合わなければならない現実だ。いわば、マクロ的な視点からのリスクアセスメントも重要であるということだ。

個人情報保護法では、委託先から個人情報が漏洩した場合でも管理責任が問われる。もちろん、行政処分や刑事告発の対象だけでなく、民事訴訟でも委託先の漏洩について責任が問われることになるだろう。

とはいっても無制限なセキュリティ対策では、採算が合わない。今後は必要なセキュリティ対策を取捨選択し、それらを実現する上でのコストを現実的に把握しなければならない。

●視点を変えればチャンス? 価格競争スパイラルから脱出する時

熾烈な価格競争による低コストの実現、一方でセキュリティの強化という大きな課題が求められる。ITを扱う企業では、これら問題に対して明確なヴィジョンを持たなくてはならない時期に来ている。

今後は、個人情報を扱うシステムについては、「少々割高だが、安全を確保した信頼できるサービス」がメインとなると思われる。もちろん、「個人情報」といったリスクを伴わないシステムについては、今後も同様の価格競争が繰り広げられるだろう。

現時点では「安価?ハイリスク」というシステムが多い。だからこそ、早い段階で「高価?ロ?リスク」へ考え方をシフトできれば、他社との差別化が図ることが可能となる。

もちろん、ただ単に「開発費が高いシステム」では、第三者に受け入れてもらえない。あくまでも「なぜその金額なのか?」という「付加価値」を、消費者なり受注元に正しく理解してもらい、「コストパフォーマンスとしては優れている」ことをアピールしなければならない。セキュリティの重要さを理解してもらう必要がある。

個人情報保護法の本格施行が1年先に迫っている。そして、多発する個人情報漏洩事件。世間の注目が集まっている。

「セキュリティ」への取り組みは、従来の価格競争から脱却する良い機会とも考えられる。消費者に「安全」を提供することは、付加価値であり、今だからこそ受け入れてもらえるのではないだろうか。

(Security NEXT - 2004/07/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

DC利用者向けに「IDS/IPSサービス」 - キヤノンITS
NTTグループのCISSPホルダー増員目指し(ISC)2と提携 - NTT-AT
カスペ、クラウドによるサンドボックス解析サービスを開始
株主優待の案内メールで誤送信 - 送信先リストを添付
2018年上半期の情報開示要請1576件、76%に対応 - LINE
「Java SE」にセキュリティアップデート - 脆弱性8件を修正
「Chrome 70」で脆弱性23件を解消
「VMware ESXi」などに深刻な脆弱性 - パッチがリリース
「Joomla」に5件の脆弱性を解消したセキュリティアップデート
不正アクセスで会員アカウント情報が流出 - 医学関連出版社