セキュリティのポイントは、セキュリティを考慮しない場合とのリスクとコスト

昨年、セキュリティマネジメント学会の学術講演会でセキュリティについてお話をして以来、iPadなどを導入する際のセキュリティについてご相談を受ける機会が増えました。僕はセキュリティの専門家ではないので、僕のところに来るご相談の多くは「妥当性」です。いまのセキュリティで問題ないか、あるいは新たにセキュリティを考慮したシステム、サービスを導入しようと思うが、その費用の妥当性はどうなのか、といったことですね。

多くの場合、過剰なセキュリティになっているのですね。そこまで考える？くらいになっていて、かなりもったいない。セキュリティはレベルを上げれば上げるほど、加速度的にコストがアップします。極端な話をすると、昼間に自社のドアを開け放っていると、どういうリスクが存在するか、くらいから考えておくと、意外と要らないものも見えてくるのだと思うのです。

前職で西海岸のベンチャー企業とのミーティングに出張した際、そのベンチャーは当時60名くらいだったのですが、昼間はドアを開けているんですね。僕は驚いて「このドアは閉めなくていいの？」と質問したのですが、社長の回答は「だって、ここからみんな見えているし、変なヤツが入ってきたらすぐに分かる。過剰なセキュリティにお金をかけたくないんだ」ということでした。当時、日本はセキュリティに厳しくなってきているタイミングだったので、目からうろこでした。

日本では、当社のような小さな会社でも暗証番号のロックになっています。当社はともかくとして、実は要らないものってあるのではないでしょうか。そのリスクはどれくらい存在していて、どの程度なら費用として妥当なのか。意外と考えてみる価値があるように思います。