企業の競争戦略の一環としてのセキュリティ軽視

　セキュリティの重要性が叫ばれ、次々と事件が発生しているのにも関わらず企業のセキュリティ対策は、遅々として進んでいないように見える。　その顕著な例が「R-MS」サイトに代表される利用者を危険な状態においやるサイトの乱立である。

製品・サービス・業界動向業界動向

2001年11月13日（火） 12時00分

　セキュリティの重要性が叫ばれ、次々と事件が発生しているのにも関わらず企業のセキュリティ対策は、遅々として進んでいないように見える。
　その顕著な例が「R-MS」サイトに代表される利用者を危険な状態においやるサイトの乱立である。

　大手企業がセキュリティに力を入れない本当の理由は競争戦略のためという意見がある。
　その意見に沿うならば、企業の経営層は、セキュリティに無頓着なのではなく、むしろその重要性を十分認識した上であえてセキュリティを度外視したサイトを許容していることになる。
　もし、そうであるなら、企業に対してセキュリティの重要性を訴えることは意味がないことになる。

・市場の成熟度にあわせて変化する企業の競争戦略の力点

　競争戦略というのは、セキュリティ関係者にとっては、専門外と思われるので、少々説明を加えることにする。
　市場が未成熟で企業も利用者も未成熟な間は、不完全な製品やサービスが受容される時期が存在する。製品やサービスの品質を律するための基準や制度がないためである。また、社会的な影響が不明なため、社会的な責任を追及されることも少ない。
　言葉を変えると、この時期に市場に参入した企業は、品質や社会的責任を度外視してもシェアや売上を拡大することがある程度は許容されることになる。この時期の競争戦略のかなめは、市場により異なるが、価格、コンセプト、機能など、さまざまな要素がある。おもには製品そのものかターゲット層により決定される。
　身近な例では、市場勃興期の自動車などがある。公害、エコロジーなどを無視した製品が多数作られていたのは、ご存じの通りである。

　市場が本格的な成長期に入ると、多数の参入業者が入ってくるようになる。ここで先行企業を守るのは、特許に代表される知的財産などである。

・市場成熟期には品質と社会的責任が競争戦略のポイントになる

　その後、市場が成熟してくると、品質ならびに社会的な責任が要求されるようになってくる。
　この時期に参入する企業は、参入当初から品質や社会的な責任を求められることになる。当然のことながら、市場参入そのものにかかるコストに品質や社会的責任のコストが加わるため、市場に参入する障壁はかなり高くなる。
　市場黎明期に、エコロジーを無視して資本力をつけた大手自動車メーカーがエコロジーをうたい、大衆を啓蒙すればするほど、後発の企業が負担しなければならない社会的責任へのコストは増大してくる。
　同じようなことは、化学製品など多くの分野で行われている。
　特に特許期間が切れた後の市場においては、検査体制、実験体制など、品質や社会的責任によるコストを増大させて後発企業を蹴落とすことはきわめて重要な競争戦略になっている。

　社会的責任や品質というのは、市場成熟期における重要な競争戦略のひとつなのである。

・企業にとって未成熟なネット市場で品質や社会的責任を重要視することはコストを増大させ、成熟期の競争戦略の選択肢をつぶすだけ

　ひるがえって、ネットビジネス＝インターネット上のさまざまな事業を見てみると、まだまだ市場黎明期であり、製品やサービスの形も定まっていない。本格的な成長期は、これからと考えてよいだろう。
　この時期は、品質や社会的責任を度外視して、売上とシェアを拡大すべき時期なのである。
　この時期に、セキュリティ対策を企業が本格的に行うことは、単純にコストの増加と開発などの時間が伸びること＝競争に負ける可能性が高まることを意味している。

　実際に、利用者の多くは、購買の時に、セキュリティ水準や社会的責任について、考慮していない。
「R-MS」サイトに、多くの利用者が集まっている現実を見てもそれは明らかである。

スクリプト強要する企業サイト一覧　危険なサイトに「R-MSマーク」を
(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3269.html
スクリプト強要のあふれる企業 web　無知で無自覚な web に歯止めを
(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3264.html
スクリプトの利用を強要するサイトはネット利用者の脅威である
(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3263.html

　こうした明白な競争戦略上の理由によって、確信犯的にセキュリティ対策を怠っている企業も少なくないだろう。
　あえて誤解をおそれずにいえば、ソニーグループは、はたから見ている限り、そのように見える（実際に、どうかは知る限りではない）。
　グループの銀行やファイナンス／決済会社ですら、セキュリティ水準が低いというのは、良識には反するが、競争戦略上、きわめて有効だろう。なにしろ他の企業がコストと時間をかけているところを大幅に圧縮できるのである。しかも、それによりお客が減るわけではなく、お目付け役である官公庁もまったくノーチェックである。
　品質と社会的責任を度外視した企業がシェアを拡大している以上、対抗する企業も市場で生き延びるためには、なりふりかまってはいられないであろう。

・「R-MS」サイトだけでなく、メールマーケティングにも同様の問題

　もちろん、問題は、webだけではない。
　メールマーケティングも同様にきわめて品質と社会的責任を度外視したサービスがまかりとおっている。
　メールマーケティングによる事件は、枚挙にいとまがなく、しかも、どれもレベルの低い人為的ミスだったりする。
　担当者や担当部門は、どう思っているかはわからないが、企業の経営層は、明らかに確信犯的に、ネット市場では品質と社会的責任を度外視しても大丈夫とたかをくくっている。
　ネットで事件を起こすよりも、コストや手間をかける方が問題と思っていると思われる。

メールマガジンにも監査が必要！？　またもやメールマガジン配信事故
(2001.10.30)
https://www.netsecurity.ne.jp/article/7/3151.html
不完全なシステムと初歩的ミス　明治乳業が顧客リスト1万件流出
(2001.10.29)
https://www.netsecurity.ne.jp/article/1/3143.html
安全への意識の低い企業　安易なスクリプト利用が被害を拡大メールマーケティングによりさらなる被害拡大の可能性(2001.9.19)
https://www.netsecurity.ne.jp/article/1/2843.html
浸透しないメールマーケティングのセキュリティ(2001.6.3)
https://www.netsecurity.ne.jp/article/1/2219.html

・自衛と選択が利用者に安全をもたらす

　一部の企業の経営層が、確信犯的にセキュリティ軽視を行っている以上、企業にセキュリティの必要性を説くことやセキュリティ水準の低さをなじることだけでは不充分である。
　セキュリティが十分なことは、認識した上での活動なのである。

　残る手段は、ひたすら自衛することと、セキュリティという視点で製品やサービスを評価することである。セキュリティが製品評価のポイントとして無視できなくなれば、企業もセキュリティへの投資を前倒しにせざるをえなくなる。

　自衛のための情報収集とツール、製品の入手、活用、そしてセキュリティという視点での製品選択、こうした地道な活動だけが、自らを守ることになるようである。

・期待できない行政の対応

　確信犯的に被害を拡大してしらんふりを決めこんでいる大手企業に対しては、行政にも指導を期待したいところであるが、行政自らが「R-MS」サイトを運営しているようでは、期待は裏切られること請け合いである。

国土交通省、中小企業庁など官公庁にもスクリプトを強要する危険なサイト
(2001.11.12)
https://www.netsecurity.ne.jp/article/1/3265.html

　また、行政の立場としては、民間企業や個人を守るためには、予算と人を使えないようでもある。

大量無差別攻撃に無防備なサイバーテロ対策　その１
(2001.10.29)
https://www.netsecurity.ne.jp/article/7/3144.html
大量無差別攻撃に無防備なサイバーテロ対策　その２
(2001.10.30)
https://www.netsecurity.ne.jp/article/7/3147.html

　何度も繰り返して恐縮だが、インパクなどというものへの予算の10％でも中小企業と個人のセキュリティのために使ってもらえないものだろうか？

[ Prisoner Langley ]

（詳しくはScan本誌をご覧下さい）
http://www.vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》