情報セキュリティの世界のいかがわしさ

■今朝、とあるテレビ番組を見ていて、情報セキュリティの世界が非常にいかがわしい理由の一つがわかった。番組の中で毎日新聞の記者が鯉ヘルペスの大発生によって多くの業者が廃業に追い込まれたニュースをについて、「いったいどうなれば安全なのかという規準をはっきりさせなければ、どこまでいっても問題はおさまらない」と話したのだ。鯉の肉について安全基準を明確にすれば本当にこの問題が解決するのかどうかは別として、情報セキュリティの世界のいかがわしさはここにヒントがありそうだ。
情報セキュリティ対策を商品にしている企業は、情報セキュリティがいかに危ないかについては語るのに、どうなれば安全かについてはあまり語りたがらない。これには二つの理由があって、一つは、どうなれば安全かを明確にしてしまうと、そこで彼らの商売が終わってしまうから。
もう一つは、どうなれば安全かなどということは定義上明確にできないから。情報セキュリティ上の被害というのは、まだ起こっていなくて、これから起こる可能性のあることである。したがってここまでの被害を想定していれば大丈夫だと言いきれる範囲は、定義上、明確にすることが不可能なのだ。だからこそほどほどのところ(例えば「ベストプラクティス」と呼ばれる、まあこれだけやっておけば大丈夫でしょうという水準)で手を打つか、あるいは、限りなくふくらんでいく想像上の被害に、限りなく対策を講じ続けて、限りなく経営資源を投下していくか、どちらかの選択肢しかない。
うちの会社には他の会社にはない情報セキュリティ上の被害の可能性があると信じ込んで、後者の際限ない道を選択してしまった企業は不幸だ。情報セキュリティ対策を商売にするコンサルティング会社の食い物になってしまうことになるのだから。
When I was watching a TV program this morning, I have come up with one of the reasons why information security is so esoteric, mystic and far from rational thinking. Regarding the strange disease which recently enforced most of the Japanese carp farmers to give up their business (for Japanese the carp meat is expensive and special dish eaten only in limited celebratory occasions), one commentator said that it is important to clarify the definition of safety of carp meat. I’m not sure how to ensure the safety of carp meat, but we can say the same thing about information security. We should talk not only about the insecurity threats but also about the definition of what kind of status can be said secure. The information security threats are what don’t happen yet but what might happen in the future. So we can’t say by definition, “As long as these threats are considered, we are secure” because a new threat can happen at anytime. We can’t limit the scope of threats we must cope with in order to realize the security. All we can do is one of the followin two options. The first option is just to implement the generally accepted information security measures. The other option is to think about threat as many as possible by fully using your creativity and imagination and to widen the scope endlessly. Of course, if your company takes the latter option, it will be pretty favorable for the information security audit vendors because they can squeeze as much money as they like from your company. But if your company takes the first option, i.e. “just implement the generally accepted security measures without conducting any audit”, the vendors will feel sad.