セキュリティはどこまでやればOKなのか

　セキュリティはどこまでやれば「よし」とされるのか。

　私を含む情シスで働く人々にとって、これは大きな難題の一つだと思います。やりすぎは費用の面からも作業効率の問題からもよろしくありません。かといって取り組みが不足していれば事故が起こります。

　私は一時期、訪ねてくるベンダーさんに「どこまでやればいいんでしょう？」と聞いてみました。答えはほとんど一緒でした。「それは御社のポリシーの問題ですので」。ベンダーさんにしてみたら「下手なことを言ってトラブルに巻き込まれるのはいやだ」「それを考えるのがあんたの仕事だろうが」というところもあるかもしれません。そういう話はちっとも進まないわけですが、「このセキュリティ商品は絶対に最新の○○暗号方式を利用しています」とかいう話だけは盛んに聞くハメになりました。
　ところで、自動車保険はどこまで厚い保障をしておけばよいでしょうか。保険会社に相談したとき「それはお客様のポリシーの問題ですので」と答える会社はないと思います。対人対物無制限がおすすめです、お車は8年目ですからご自身のお車の保障はそれほどいらないでしょう、8年目になるので故障も考えられますのでロードサービスがおすすめです・・・こんな風にして提案してくれるはずです。保険会社は「下手なことを言ってトラブルに巻き込まれるのはいやだ」などとは考えません。
　一方、セコムなどの家庭向けセキュリティ会社はどうやって提案してるんでしょうね。おたくのポリシーの問題です、などとはやっぱり言わないと思います。

　というわけで自動車保険のようにすいすい決められないセキュリティ問題。何が問題なのか羅列してみます。

• セキュリティにいくらお金をかけても目に見えて手に入るものがない。・・・「当社は秘文をつかっているので安全です」とかホームページに書ければまた話は別かもしれませんけど。
• 目に見えて手に入るものではないから、経営者からすると「金食い虫」的な問題。
• 故に、あまりド派手に予算をかけようとすると情シスが「あほか」と怒られる。
• かといって、事故が起これば情シスが責任を負う羽目になりかねない。
• 厳しいルールは社内から反発が起こる。
• 現実的な運用を考えないといけない。パスワード認証を厳しくしすぎても、ポストイットにパスワードを書いて貼り付けておく社員が出るようでは逆効果。

　情シスにとって、セキュリティ対策というのはこの辺の事情を考慮した「ちょうどよい塩梅」を模索することでもあります。自分の社内的立場を守るためにも。