Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008 第2回「サイバーノーガード戦法 3つのデメリット」
サイバーノーガード戦法という言葉を筆者が使ってから、すでに4年の歳月が過ぎている。4年たってもいまだに通用するサイバーノーガード戦法についてのおさらいと今後の可能性を整理してみたいと思う。
特集
特集
●サイバーノーガード戦法の採否 最大のポイントは運用停止リスク評価
もちろん、サイバーノーガード戦法にはデメリットもある。しかし、本当に気にしなければならないデメリットはサイト運用停止くらいである。
・デメリット その1 利用者の信頼を失う
当然であるが、信頼を失う可能性は高い。しかし、インシデントのことなど簡単に忘れられてしまう可能性も高い。
・デメリット その2 被害者への補償が発生することがある
コストだけで考えると、継続的なセキュリティ投資と損害補償のバランスということになる。後述するように、大規模でない場合は、損害賠償コストの方が安い。
・デメリット その3 攻撃を受けた際、場合によっては運用を一時停止せざるを得ないことがある
実は、これが最大のデメリットである。商売を中断した場合の機会損失プラスコスト(賃貸料とか人件費とか商売していないのにかかるコストもバカにならない)は、場合によってはセキュリティ投資をはるかに上回る可能性がある。
51万件の個人情報を漏えいした「ジャパネットたかた」は一説によれば営業停止により、150億円の損害を被ったといわれている。
といったわけで、デメリット3=運用停止のリスク、損失がどの程度に及ぶかがサイバーノーガード戦法の採否のポイントになるということがわかる。
つけくわえると、カンのよい読者の方はすでにお気づきだと思うが、サイバーノーガード戦法には、刑事罰を受ける可能性がほとんどない。ずさんなサーバ管理をしていて、それが原因でインシデントが起きたとしても、刑事訴訟の対象になる可能性はきわめて低いのである。この点も重要である。
さらにいえば、ずさんな管理をしていて、個人情報漏えいの危険性が具体的にある時、外部からそれを指摘して改善してもらうことはきわめて難しい。サイバーノーガード戦法をとっているところに、外部から危険の可能性を伝えても改善などするはずがない。そういうコストを払わないのが、サイバーノーガード戦法なのだから。かといって、前述のように、その危険性を証明するためには、不正アクセス禁止法を破らなければならなくなる。正直者がバカを見る、というのを地で行くような仕組みになっている。
おそらくサイバーノーガード戦法を採用している企業は、この戦法をやろうと意識してやっているのではなく、もろもろのコストや責任を勘案した結果、たまたまそうなっているのだと思う。制度上、サイバーノーガード戦法がお得なようになってしまっているのだ。コストに敏感な経営者なら、すぐにこの戦法と同様の施策をとると思う。
もちろん、利用者(被害者)側から見るとサイバーノーガード戦法をとられてしまうと、やられっぱなしで、なんのいいこともない。これもまた制度上の欠陥である。いや、そもそも制度が誰の何を守るためのものかというスタート地点が違うのだろう。企業がろくなセキュリティ対策をとらなくてもサイト運営ができることを目指して、制度が設計されたようにすら思える。(つづく)
【執筆:Prisoner Langley】
(※筆者注:本稿は、警鐘をならすための啓発記事であって、サイバーノーガード戦法を推奨しているわけでありません。)
【関連記事】
Langley の日々これ口実コラム 経営者必見!サイバーノーガード戦法 2008
第1回「サイバーノーガード戦法 3つの魅力」
https://www.netsecurity.ne.jp/7_12386.html
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
《ScanNetSecurity》