企業がセキュリティに払う値段の考察

はぁい。はじめまして。あたくしはLucreziaと申しますわ。普段はBlogで技術がらみの毒を吐いておりますの。
このたびご縁がありまして、こちらにあたくしの文章を書かせていただくことになりましたの。よろしくね。

さて。つい最近あった二つのクラック事件。印象に残った方も多いんじゃないかしら？
そう。カカクコムのサイト「価格.com」とスターツ出版のサイト「女性サイトオズモール」のクラック事件よ。
今回の二つの事件の大きな特徴はいくつかあるんですけれども。あたくしが注目しているのは「攻撃された時点でのセキュリティレベルは過失のないものであった」「でも攻撃手段は公開しない」という二つの発言なの。
この二つの事件の共通した二つの発言で、あたしが予想していた、下手したらそれ以上の大惨事の可能性が見えてきてしまったの。
絹を裂くような悲鳴を上げてしまいそうな、そうしてそのまま失神してしまいそうな、それほどまでに怖い状況。
どんなホラーよりも恐ろしい、血の凍りそうな惨劇への序曲。その旋律はあなたの耳にも届いているかしら？

ちょっと話をそらしてみるわ。お題は「企業がセキュリティに払う値段の考察」よ。いったい企業は「どんな理由で」「どれくらい」払うものなのかしら？
例えばどこかの「セキュリティ会社」とかって連中がこんな発言をしてきたとするわ。
「社長、ここに試算したとおり年間で1.2億ほどの予算がかかりますが、これで十分なセキュリティが確保できます!!」
そうねぇ。やっぱり「会社のWebサイトがクラックされた」なんて外聞、みっともないって思うのが普通なんじゃなくってかしら？
そうすると社長としてはやっぱり「うむ。じゃぁ払うからやってくれたまえ」ってなると思うの。やっぱり世論とか怖いんですもの。
でも会社ってそれなりにシビアなところよ。四半期半期一年たてば、当然のごとく「で、導入した成果は？」って話になるわ。お偉いさんから「詳しい資料を出せ」とかそんなことを言われた人も多いんじゃなくってかしら？
ここで問題があるの。「1.2億払った"から"防げた」って資料はどうやって作るのかしら？それは例えば0.6億とか0.3億とかではいけないのかしら？
コスト計算にシビアな社長ならきっと飛び出すであろうこんな疑問に対して、セキュリティ会社はどうやってそれに返事を出すのかしら？

正直なところ。「どんな大金を払っても」クラックされるときはされてしまうんですの(確率とかって辺りを完全に無視したお話ですけれども)。確かに「限りなくクラックされにくい」ガードはできるわ。でもそのためには、ものすごい金額を要求されてしまうの。頭の痛い問題だわ。
それもこれもみんな「クラックされない」ためなの。だって外聞とか世論とか、最近なら個人情報保護法とか色々あるじゃない。困るのよ、クラックされちゃうと。
だから会社は、しぶしぶでも大金を払ってくれるのよ。

【執筆：Lucrezia Borgia　http://d.hatena.ne.jp/Lucrezia/】

[編集部注]
※本稿はコラムであり、文中で紹介している特定のサイトの過去のセキュリティの状態について記述しているものではありません。

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec