2016-03-01

サイバーセキュリティって誰のためにやっているの?

最近、自分の業務ドメインにてサイバーセキュリティの問題に取り組んでいる。

数年前まではまったくのシロウトだったが、エキスパートの方達と活動していく中でそこそこ詳しくなったと思う。

そして常に考えているのは「これは一体誰のためにやっているのか?」という疑問だ。

なぜ、そんなことを考えているのかというと、サイバーセキュリティの分野ではその道で飯を食っている人達がいて、彼らは「こんなことも知らないのか」とか「こんなこともやっていないのか」とか「こんなことされるんですよ」などと、目に見えない脅威に対して恐怖を煽ってくれる。

幸いにも現実に悪意を持ったハッカーによって患者さんの健康被害に至ったという事例はまだ聞いたことがない。

上記の図は、そういった状況の中で機器の製造業者がどのようなプレッシャーにされされているのかを表したものだ。
  1. 専門的な知識が必要。
  2. 世の中で話題になっている。
  3. 規制またはそれに近い要件となっている
この3つが揃うと、これで金儲けできると考える者・組織がどこからともなく表れ、「アドバイスしまっせ」と近寄ってくる。知識が十分でない製造業者はいいかもとなる。レクチャーする方は正義の味方の顔をしているのだが、なんだか釈然としない。

そこで、「これは一体誰のためにやっているのか?」と考えるのだ。もちろん、エンドユーザーである患者さんが健康被害に至るようなことがあってはならないので、リスクを分析し対策を打つことが必要であるということは分かる。

しかし、これまでやっていなかったことに取り組む訳だから、そこには必ずコストがかかる。そのコストは最終的に誰が負担するのか。それは、回り回ってエンドユーザーの負担になる。

だからこそ、余計なこと、やってもあまり意味のないことはやりたくない。

そこで、今、セキュリティとセーフティをどのように切り分けるのかの考え方をまとめようとしている。

ところが、セキュリティの専門家という人達はセーフティとセキュリティの切り分けができない。特にセーフティサイドの概念や経験がほとんどないので、インフォメーションセキュリティリスクがどのような危害に至るのかメカニズムを説明することができない。一方で、どんな脆弱性があるのかセキュリティで有効とされる対策はどんなことがあるのかを列挙してくる。

セキュリティでビジネスする者にとっては、対策はより多く採用されればされるほど儲かる。しかし、製造業者に取っては、対策は最小限であればあるほど、コストを上げなくて済む。

機能安全の話も同じだと思うが、自分には、職業的セキュリティの専門家と悪意を持ったハッカーがダブって見えてくる。

今一度、サイバーセキュリティに携わっている人達に聞きたい。「これは一体誰のためにやっているのか?」と。

方法論が先行して目的を見失うこと無きよう、気をつけましょう。