組込み機器の情報セキュリティの対応に対するモチベーションがなかなか上がらない。誰のために何のためにやっているんだろうと自問自答し,さらに,どこまでやればいいのか見当が付かないためやる気が起こらない。
そもそも,悪意を持ったハッカーなんかが居なければ,セキュリティ対策なんてしなくてよかったのではないか。5月に世界中で蔓延したランサムウェアのWannaCry は米国家安全保障局(NSA)から流出した Windows の脆弱性 EternalBlue を使ったものと言われている。 EternalBlue は流出するまで,諜報機関により米国の監視活動に利用されていたらしい。アメリカは脆弱性の元を作っておきながら,米国に機器を売る者に対しては情報セキュリティのハードルを世界最高の水準に上げている。本当に迷惑な話だ。
こんなことだから情報セキュリティの取り組みにはやる気が起きない。しようがないので,次のように考えようと思う。
昔々,善良な村人しかいない平和な村がありました。泥棒もいないので,村人は玄関に鍵などかける必要がありませんでした。あるとき,村外れの山から金の鉱脈が見つかり,一攫千金を狙った者が隣村からたくさん移住してきました。村はだんだん物騒になり,物取りや傷害事件が起きるようになりました。村人は玄関に鍵を書けざるを得なくなりましたとさ。
ネットワークを使うこともなかった,善良な村人(組込み機器開発者)は,機器同士がネットワークでつながる時代になり,開けっぱなしだった玄関に鍵を付けなければいけなくなったという訳だ。誰のせいかと言えば,悪いのは泥棒だが,そういう時代なのだからしようがないとしかいいようがない。
問題は鍵を付けるコストは誰が負担するのかという点だが,それは結局エンドユーザーが負担することになる。だから,エンドユーザーの期待に応えながら,コストが上がりすぎないようにしなければいけない。
情報セキュリティの問題は,どこまでやればいいのかという判断基準が難しい。
商品の価値について考えるとき,左図のように顕在的価値と潜在的価値に分けて考えるようにしている。
顕在的価値は商品カタログの目立つところに書かれる機能や性能で,潜在的価値は「当たり前に出来ている」と期待されていることで安全や安心を担っている部分となる。
情報セキュリティの価値は,潜在的価値の方だろう。潜在的価値について,多くのユーザーは商品購入の時にあまり意識していないが,一度でも痛い目にあったりすると,潜在的価値を重視するようになる。
ブランドの価値は,この潜在的価値の積み重ねがものを言ったりする。また,社会問題になるようなインシデントが起きると,この潜在的価値はたちまちクローズアップされて,商品価値の中で重要視されるようになる。
だから,この潜在的価値を高めるためのソリューションを提供できる会社は,WannaCry のような社会的インシデントが発生するとここぞとばかりに活気づく。
情報セキュリティ対策にモチベーションが上がらないもう一つの理由は,これだ。インシデントが発生すると儲かる商売って,弱みにつけ込んでいるような気がして何か釈然としない。(ちなみに,機能安全をきっかけに儲けようとする会社も同じ穴のむじなだと思うけど。)
でも,最近はしようがないのかなあ,と諦めている。なぜなら,お客さんが製品に対して情報セキュリティの確保を求めるようになってきたからだ。
エンドユーザーが情報セキュリティの価値を認めて,対応がされていない製品は買わないと言ってきたら,それはやらないわけにはいかないし,そういうお客さんが増えてきたら,逆にその部分の潜在的価値をアピールすることもできるようになる。
ただし,無限にコストを上げることはできないので,費用や工数と効果の折り合いをどこかで付けなければならない。
その折り合いのさじ加減は,業務ドメインや,その製品の意図する使用によっても変わってくるので,一般化はなかなかできないと思っている。例えば,機器の可用性の侵害を重視するFA,可用性と完全性の侵害が患者危害につながる可能性のある医療機器,機密性の侵害による信用の低下につながるデータセンターなどさまざまな機器,業務ドメインがある。
情報セキュリティのCIA(Confidentiality:機密性,Integrity:完全性,Availability:可用性)の優先順位は機器の特性や使用目的,扱うデータの種別によって変わるので,情報セキュリティ対策の優先度も変わるし,どの機器にも効く魔法の杖はないと思う。
IoT という大きなくくりでは,費用と効果の折り合いは付けられないということだ。また,その折り合いは,その会社の製品のセキュリティに対するポリシーにも影響を受ける。というか,折り合いを付けるためには,ポリシーを定めないとなかなかうまくいかないということだ。
だから,製品の情報セキュリティは今後は,企業のブランド価値にようなものになっていくのだろう。製品のセキュリティに対するポリシーを持ち,ホワイトペーパーを出せるような企業は,企業の潜在的価値として情報セキュリティを捉えていて,そこに価値があり,ブランド力を高めることに貢献すると考えているのだと思う。
顧客が価値があると考えるのなら,情報セキュリティにもモチベーションを持って取り組まないといけないということか。
0 件のコメント:
コメントを投稿