新型コロナが問いかけるサイバーセキュリティの許容限界点！（3）

「セキュリティ」と「利便性」はトレードオフの関係

　――コロナ禍の後は、日本企業も「セキュリティ原理主義」から少し離れ、従業員1人1人がリスクをコント―ロールしなければならない時代が到来しますね。

　守屋　情報セキュリティ対策に関する日本企業の考え方は、コロナの前後で一変すると思っています。もともと、リスクコントロールの観点から言えば、「セキュリティ」と「利便性」はトレードオフの関係にあります。セキュリティ対策を高めるほど利便性は下がり、一方、利便性を上げるとセキュリティのレベルが下がるため、重要な営業機密情報や、顧客、社員などの個人情報が流出する可能性があります。ここでもっとも大切なのは、「セキュリティ」と「利便性」のバランスです。

　日本人は、「安全より安心を重要視する」傾向にあり、リスクを極力「ゼロにしたい、危ないことはしたくない」という気持ちが常にあります。一方、「安全は事実（データ）」によって判断され、「安心は心（気持ち）」によって決まります。そのため、数字で詳細データを示して論理的に説明しても、「事故がおきたら誰が責任を取るのか」「自分では決めたくない、責任を取りたくない」などの感情論が前面に出て、議論が進まないことが多くありました。

　また、サイバー攻撃の実体が把握できていないままで、「国家よる脅威」や「不正アクセス」「個人情報流出」などの文言が新聞・雑誌などのメディアに躍りました。そこで、企業は「よくわからないが、当社も何かやらないと大変なことになる」「競合他社に置いて行かれる」という強迫観念に似た気持ちが優先して、サイバーセキュリティ対策をしてきました。セキュリティ対策会社もその危険度を過大に喧伝してきたきらいもあり、「このセキュリティ対策ツールも入れて、あの対策ツールも入れましょう」と「ゼロリスク」を目指したわけです。その結果、必要以上にコストがかかり、利便性も落ちてしまいました。

　一方、リスクを認識して「ここまでは対策する」とした上で、これ以上の対策をすると「仕事そのものに大きな影響が起こる」ので「残留リスクを認識した上で、利便性を優先する」判断が求められています。

　今後はコロナ禍の教訓を基に、日本企業も経営を最優先して、データに基づいて許容限界点を冷静に分析する「安全」を重視した考え方に方向転換していかざるを得ないのではないでしょうか。

欧米では「リスクコミュニケーション」が定着

　守屋　欧米ではリスクに関して合理的な判断が前提となっており、「リスクコミュニケーション」という概念も定着しています。

　リスクコミュニケーションとは、社会を取り巻くリスクに関する正確な情報を、行政、専門家、企業、市民などのステークホルダーとなる関係者の間で共有し、相互に意思疎通を図ることです。絶対的なセキュリティである「ゼロリスク」は存在せず、どんなに防御しても100％の対策はできないことを前提としており「どういうリスクなのか」をよく知った上で、利用者が選択する道筋ができています。リスクがなくなることはないので、残留リスクの内容を把握することが重要です。

（つづく）

【金木　亮憲】

＜プロフィール＞
守屋 英一氏（もりや・えいいち）
　2016年中央大学大学院・経営修士（専門職）課程修了。07年日本アイ・ビー・エム（株）に入社。セキュリティオペレーションセンター運用責任者、IBM Computer Security Incident Response Team（CSIRT）Forensic analystを経て、15年内閣官房上席サイバーセキュリティ分析官、18年から自動車会社勤務、現在に至る。
　シーサート協議会専門委員及びインシデント事例分析WG主査、明治大学ビジネス情報倫理研究所客員研究員を兼任。著書として『フェイスブックが危ない』（文藝春秋）、『サイバーセキュリティ』（共著、NTT出版）、『ネット護身術入門』（朝日新聞出版)など多数。12年度JNSA表彰個人の部を受賞。14年～15年Microsoft MVP for Consumer Securityを受賞。