とりあえず、春爛漫を満喫した今日。朝から気温は17℃、あっという間に20℃越えで一気に春本番の陽気になった。で、先に書いたような桜日和になったわけだが・・・。
そういえば、今朝みつけたロイターの記事。例のTargetクレジットカード漏洩事件で、Targetのセキュリティ検査をしていた会社が訴えられたと言う話をみつけた。今回の攻撃の切り口となった脆弱性に対応できなかったという理由のようだが、いよいよそういう時代になってきたな、という感じである。
ある意味、当然の話でもあるのだが、一方で、これまでユーザの鈍感さにあぐらをかいてきたセキュリティ業界にとっては、晴天の霹靂かもしれない。実際、セキュリティ検査の網羅性はかなり微妙な問題だ。たとえば、脆弱性を見落とした責任は誰にあるのか、という問題をこれまで曖昧にしてきた業界も、そろそろ真剣に考えなければいけないのかもしれない。
そう言う意味では、これは、どちらが責任を持つ、という話でもない。業界は、セキュリティ検査の限界をはっきりと示すべきだし、一方でユーザ側もリスクを負う主体は自分たちであるという点をもっと意識すべきだ。Targetの事例でも、ユーザ側の丸投げ姿勢が明らかになっている一方、請け負った会社もそれにかまけて、対応がいい加減になっていたフシもある。米国にしてその状態だから、そこから数年遅れと言われている日本はどうだろうか、とちょっと気になっている次第だ。
米国流のなんでも訴訟がいいとは思わないが、一方で、それは一種の緊張感をもたらす。もちろん、きわめて高額の賠償金は、大きなビジネスリスクではあるのだが、こうした訴訟の敷居の低さが、企業のモラルを支えている点も否定できない。そういう意味で、我が国のセキュリティビジネスのどれくらいが、米国で生き残れるのだろうと考えると、ちょっと寒いものがあるのも事実だ。
一方で、そうしたセキュリティ企業に仕事をたのむ側の意識も低すぎるように思う。セキュリティについては、最終責任を他者に押しつけることはできない。結局、まわりまわって自分に返ってくるのだから、たとえばアウトソース先の仕事をきちんと評価できるだけの目利きができないと、ユーザ側も何かあった場合のそしりを免れ得ないと思うわけだ。
もちろん、米国のようなきわめて高額の賠償金を課すことは、ビジネスを進めていくという点ではマイナスかもしれない。しかし、そうした中でも米国で新しいビジネスがどんどん育っていることを考えると、そのリスクに見合った利益が得られる環境があるからということも言えるだろう。これは、社会的な選択だと思う。ただ、そうしたリスクが低すぎると、モラルハザードを起こす可能性も否定できない。
たとえば、の話だが、「お前の言い値の倍払うから、もし、何かあったらその倍を返せ」と言われて、仕事を受ける会社がどれくらいあるだろうか、と言う話である。おそらく、日本の会社でそれを受ける会社はまずないだろうと思う。要するに「何か」を定義することもできないし、定義したとして、ユーザを納得させることが出来るとも思えないわけだ。一方、ユーザ側も、言うだけの覚悟がいる。「言い値」をきちんと値踏みできないといけないからだ。残念ながら、これを言える会社も日本にはほとんどないだろう。
そう言う意味で、今の日本には、こうした緊張感が必要なのかなと思った次第である。セキュリティ対策は必須だという認識が広がった・・・と言いながら、実際の意識は10年前と何も変わっていない・・・では困る。そろそろ日本企業も目を覚ますべきではないだろうか・・・と思う次第である。
そんな事を考えながら、晩飯時にちょっと飲んだくれて、まだ少し酔っ払っている。まぁ、週末だしね。とりあえず、今夜はこんな感じで寝てしまおう。
コメントする