セキュリティを導入するのは被害に遭った直後で良いのか

初めての方、初めまして。そうでもない方、お久しぶりです。 タケダノです。

社内のとある人に最近言われたのですが、タケダノは、ブログより、プレゼンの方が面白いそうです。 すみません。今回も、そこそこのブログの方です。 ブログの改行とかも下手くそです。教えてください。

セキュリティか保険か

さておき、セキュリティの導入支援が難しいです。

例えば、貿易における保険、家計における保険は統計的に割合があるようです。多めに支払っているようであれば見直しを考えてみてください。 海外旅行保険は渡航先、滞在日数によって決まり、自動車保険も、年齢や事故歴によって価格が決まることを考えると、特に何も考えることなく金額が算出され、納得しようとしまいと支払の意思決定を迫られます。個人のプライベート環境においては、一か八か、事故に遭わなければ良いと考えるかもしれませんが、事業を行う上では必要経費として考える場合が多々あると思います。

セキュリティについてはいかがでしょうか。 万が一に備えて入るという点においては似ているかもしれませんが、一度セキュリティ被害に遭ったときに失う信用を考えると、事故を起こして補填してもらえる保険と、限りなく0%に近づけなければならないセキュリティは、やはり似て非なるもの。 おばちゃんに勧められて多く入りすぎた保険とは異なり、クラメソさんが言うからといって対策をしていただくセキュリティは、意味が大きく異なるということを、我々としても重々承知した上でお勧めする責任が伴います。

100万円のビジネスと、1,000万円のビジネスと、1億円のビジネスで割合や、固定の金額でセキュリティに費用を掛けることが出来るかというと、ビジネスのステージや、規模感など含めて、パラメータが多いために判断が『難しい』ということになってしまいます。 例えるなら、中学校2年生ぐらいで、先が見えない中、進路を決めていかなければならないくらい難しいです。いや、まだ夢や希望がある中学生の方が悩める若者感があって良いかもしれません。 ということもあって、セキュリティについては、どうしてもお勧めするというよりも、どうしたら良いでしょうかという相談に応じて提案をすることになるし、必ずしも導入して頂ける状況では無いということです。

一方で、セキュリティについては優秀な技術者が集まる傾向にあることも感じています。突破されては困るところを高い技術で防ぐ。そのため、本来であれば相当な価値を持つ場合が多いです。 ですが、被害に遭うまで価値が分からないため、その価値が導入と結びつかないことが多いことを実感する今日この頃です。

一か八かでは無いセキュリティ

そんな中、一か八か、万が一ではないセキュリティ要件もあります。 例えば、クレジットカード情報を持つのであれば監査の対象として必ず必要なPCIに引っ掛かってきます。これは一か八か見つからなければ良いではなく必ず対応しなければならない問題となります。 先日書いたAuth0に関する記事も、認証認可について、セキュリティも含めて専門業者に任せて、本業に専念するSaaSが注目されています。

アカウントや、プロジェクトが増えれば増えるほど、問題の切り分け、責任の分担は出来るかもしれませんが統合的な管理は煩雑になります。 そういったときには、当社のパートナー製品でもあるDome9が適していたりします。PCI要件、重要機密に対する監視や、複数プロジェクトを視覚化して管理のしやすさを提供しています。

CPX 2019 Tokyo

Dome9に絡めてご案内すると、先日、中山が書いた記事のように、クラスメソッドは今回チェック・ポイント・ソフトウェア・テクノロジーズさんのスペシャルサポーターとして参画させて頂いております。

「CPX 2019 Tokyo」にスペシャルサポーターとして協賛します

ここからあと2週間ほどになります。 もし時間の都合があるようでしたら、今一度セキュリティについて考えを整理する意味で参加してみてはいかがでしょうか。

申込みの際はパートナー企業名に「クラスメソッド」と書いて頂けますと幸いです。