※ 本記事は2017年2月7日に公開されたものです。
セキュリティ対策のゴールはリスクをゼロにすることではありません。
リスクを受容できるレベルまで軽減することがセキュリティ対策のゴールです。
ちなみにリスクを受容できるまで軽減する以外にもリスクに対応する方法があります。
それは回避と転移です。
リスクの回避とはそもそもリスクが発生する可能性を取り去ることです。たとえば個人情報の漏洩のリスクに対して、個人情報を持たないという選択をすることです。個人情報を持つことでさらなるサービスを提供し利益を得ることができるかもしれませんが、リスクが発生する可能性が高く、また被害が大きい場合には個人情報を持たずサービスを提供しないという回避も有効です。
リスクの転移とはリスクを別の場所に移すことです。たとえばクレジットカード情報の漏洩のリスクに対して、決済サービスを他社に委託したり、保険をかけて被害を受けても金銭的な影響を少なくすることです。リスクによる被害が大きい場合にはリスクを転移することも有効です。
そもそも絶対に安全はありえません。受容できるレベルのリスクをさらに軽減する必要はありません。対策のしすぎというやつです。
では、どのレベルのリスクであれば受容できるとしてよいのでしょうか?
セキュリティ対策はどこまでやればよいのか、というのは決まった答えのない非常に難しい問題です。
ここでは、どこまで対策をすべきか考えるための3つの観点を紹介したいと思います。
ひとつめは、データの価値、そのデータはどれだけ重要か、という事です。
重要なデータであればあるほどきちんと守るべきです。そのデータが漏洩した時の影響を考えてください。
被害の範囲、漏洩ルート、原因の究明、対外的な説明、今後の対策、損害賠償(お詫び?)。さまざまな費用が発生します。自社のリソースだけで対応できない場合、外部のコンサルタントに依頼する必要があるかもしれません。自分や上長、会社の役員の処分、減俸、引責辞任、運用を担当していた情報子会社の解体、顧客離れなど今後のサービス提供への影響などもあるかもしれません。
事件が発生してしまった後には結局おこなわなくてはならない「今後の対策」を事前にやっておけばという後悔をしないためにも、重要なデータが入っている場合にはきちんと対策をおこなうべきだと責任を取らされそうな上司に上申すべきです。事件発生時に自分が責任を取らなきゃいけない事も含めて影響を理解してそれでも対策をおこなわないのは、リスクを受容(放置と言いたいですが)していることになります。
ふたつめは、各種法令やそれに伴うガイドラインです。
ガイドラインはどんどん更新されています。なぜ更新されているかというと、事件が発生しているからです。ガイドラインには実際に発生した事件を受けて、そのような事件が再発することがないようにどのような対策をすべきかが記載されています。ガイドラインには厳しい事が記載されていると感じるかもしれませんが、その対策をおこなっていなかったから事件は発生したのであり、個人情報、クレジットカード番号情報など重要な情報に対してはガイドラインに書かれている対策をとるべきです。
さて、企業理念や経営計画、行動規範、行動基準をホームページで広く公開している企業も多いです。そこに法令遵守などコンプライアンス対応が明記されていることも多いです。企業として対応を謳っている場合、対策しなくてはいけないと知っていて対応していないと、万が一事件が発生してしまったときに、説明責任を果たすことができなくなってしまいます。セキュリティ対策はどうしてもコストと見られてしまうため、対策の必要性と対策しなかったときの影響はきちんと上司や責任者に報告するべきです。
さいごは業界標準、他の会社はどこまでやっているかです。
とはいえ、監査が入る業種を除いてはデータベースのセキュリティ対策まで手が回っている会社は残念ながら多くはありません。だからといって全く考慮しなくてよいわけではありません。先日のデータベースへのランサムウェア攻撃もそうでしたが、まず狙われるのは対策ができていない脆弱なシステムです。このブログでは有償オプションでない基本機能でおこなえる対策も多く紹介しています。適切な対策をおこない攻撃者からデータをとるのは難しいなと諦められるシステムを作っていただきたいです。