1.セキュリティ対策とは

まず、セキュリティとは「意図的で不当な行為による被害を防止すること」としている。リスク管理と違って災害による被害は含まない。

セキュリティ対策を難しくしているのは恐怖心だ。ただ怖がるのではなく、セキュリティ対策に必ず存在するトレードオフを適切に判断する必要がある。

同時多発テロ後のアメリカ政府の対応を、トレードオフを無視して実施した対応が、かえって新しいリスクを生んだ例として指摘している。事件に反射的に対応するのではなく、本質的な問題を検討する必要があるのだ。

その時の基準として「5段階評価法」を紹介している。

1. 守るべき資産は何か
2. その資産がどのようなリスクにさらされているか
3. セキュリティ対策でリスクはどれだけ低下するか
4. セキュリティ対策でどのようなリスクがもたらされるか
5. 対策にはどれほどコストがかかり、どのようなトレードオフが存在するか

この方法でセキュリティ対策を評価することで、適切な対策がとれるという。

セキュリティ対策には3本柱がある。理想は被害の「防止」だが、完全に防ぐためにはコストが高いことが多い。そのような時、とれる妥当な方法として、「検出」と「対応」がある。被害があっても適切な「検出」と「対応」ができれば、完璧な「防止」を目指すより効率的だ。対策はこの3つの柱で考えるべきだ。

2.インターネットショッピングの例

インターネットショッピングを利用するべきか、という問題が例に上げられていた。（ちなみに、私は今まで恐怖心から、できるだけ控えてきた。）

まずは5段階評価法。

(1.守るべき資産は何か) カード番号、住所などの個人情報

(2.その資産がどのようなリスクにさらされているか) Webサイトで入力した情報を盗まれる

(3.セキュリティ対策でリスクはどれだけ低下するか) 入力した内容を盗まれる可能性は確かにある。しかし、攻撃者にとって、はインターネットから一人ひとりの情報を盗むよりも、サーバに進入してデータベースから盗む方が効率がよい。自分がインターネットショッピングをしなくてもカード会社に登録する限り、盗まれる可能性はある。従ってリスクは低下しない。

(4.セキュリティ対策でどのようなリスクがもたらされるか) インターネットショッピングを控えることによるリスクは存在しない。

(5.対策にはどれほどコストがかかり、どのようなトレードオフが存在するか) コストはかからない。インターネットショッピングの利便性を放棄することになる。

そして、対策を考えると、まず「防止」は難しいことがわかる。「検出」はクレジットカードの利用明細を確認すればよい。「対応」はカード会社に連絡すること。不正利用された場合、全額を支払わされることはあまりないようだ。

3.感想

そう考えてみて、信頼のおける会社・カードを選べば、それほど不安に思う必要なかったことがわかった。私、Web技術者なんですけど・・・。恥かしいけど勉強になった。