企業がセキュリティに払う値段の考察 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.12(火)

企業がセキュリティに払う値段の考察

特集 特集

はぁい。はじめまして。あたくしはLucreziaと申しますわ。普段はBlogで技術がらみの毒を吐いておりますの。
このたびご縁がありまして、こちらにあたくしの文章を書かせていただくことになりましたの。よろしくね。

さて。つい最近あった二つのクラック事件。印象に残った方も多いんじゃないかしら?
そう。カカクコムのサイト「価格.com」とスターツ出版のサイト「女性サイト オズモール」のクラック事件よ。
今回の二つの事件の大きな特徴はいくつかあるんですけれども。あたくしが注目しているのは「攻撃された時点でのセキュリティレベルは過失のないものであった」「でも攻撃手段は公開しない」という二つの発言なの。
この二つの事件の共通した二つの発言で、あたしが予想していた、下手したらそれ以上の大惨事の可能性が見えてきてしまったの。
絹を裂くような悲鳴を上げてしまいそうな、そうしてそのまま失神してしまいそうな、それほどまでに怖い状況。
どんなホラーよりも恐ろしい、血の凍りそうな惨劇への序曲。その旋律はあなたの耳にも届いているかしら?

ちょっと話をそらしてみるわ。お題は「企業がセキュリティに払う値段の考察」よ。いったい企業は「どんな理由で」「どれくらい」払うものなのかしら?
例えばどこかの「セキュリティ会社」とかって連中がこんな発言をしてきたとするわ。
「社長、ここに試算したとおり年間で1.2億ほどの予算がかかりますが、これで十分なセキュリティが確保できます!!」
そうねぇ。やっぱり「会社のWebサイトがクラックされた」なんて外聞、みっともないって思うのが普通なんじゃなくってかしら?
そうすると社長としてはやっぱり「うむ。じゃぁ払うからやってくれたまえ」ってなると思うの。やっぱり世論とか怖いんですもの。
でも会社ってそれなりにシビアなところよ。四半期半期一年たてば、当然のごとく「で、導入した成果は?」って話になるわ。お偉いさんから「詳しい資料を出せ」とかそんなことを言われた人も多いんじゃなくってかしら?
ここで問題があるの。「1.2億払った"から"防げた」って資料はどうやって作るのかしら? それは例えば0.6億とか0.3億とかではいけないのかしら?
コスト計算にシビアな社長ならきっと飛び出すであろうこんな疑問に対して、セキュリティ会社はどうやってそれに返事を出すのかしら?

正直なところ。「どんな大金を払っても」クラックされるときはされてしまうんですの(確率とかって辺りを完全に無視したお話ですけれども)。確かに「限りなくクラックされにくい」ガードはできるわ。でもそのためには、ものすごい金額を要求されてしまうの。頭の痛い問題だわ。
それもこれもみんな「クラックされない」ためなの。だって外聞とか世論とか、最近なら個人情報保護法とか色々あるじゃない。困るのよ、クラックされちゃうと。
だから会社は、しぶしぶでも大金を払ってくれるのよ。

【執筆:Lucrezia Borgia http://d.hatena.ne.jp/Lucrezia/】

[編集部注]
※本稿はコラムであり、文中で紹介している特定のサイトの過去のセキュリティの状態について記述しているものではありません。

──
(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  6. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  7. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×