ゆがめられる情報セキュリティ対策
こんにちは、丸山満彦です。複数の情報セキュリティに詳しいと私が勝手に思っている人との話を通じて最近思っていることは、IT事業者はユーザが本当に必要としている情報セキュリティ対策を提案していない。という話です。
これは経済原理に基づけば当たり前の話ですが、IT事業者はその企業に最も良いセキュリティ対策ではなく、売る側が最も利益がでるセキュリティ対策を提案しているからです。
更に当たり前ですが、自分が取り扱っていない製品についての提案していません。
また、製品やサービスを売るために広告を行います。競合相手が広告をすれば、それに応じて更に広告をします。雑誌などもそのような製品やサービスを取り上げて更に盛り上げてしまいます。
一般に製品やサービスを提供する企業のほうが、提供を受ける企業よりも十分な情報と知識をもっています。また、そう思われてしまいます。さらに広告や雑誌などでそれが大きく取り上げられると、それがあたかも必要な製品・サービスと思われてしまいます。
それに輪をかけて有識者と言われる人がその必要性を宣伝します。
かくして、資本力がある企業が提供する製品・サービスが本当の必要性とは関係なく、世の中に提供されていきます。そして、それが本当に重要なセキュリティ対策と社会に認識されてしまいます。
こうやって、ユーザが本当に必要としている情報セキュリティ対策が提供されないという話になります。
もちろん、まったく必要性がないのであれば、利用されないのですが、まったく必要性が無いわけではない。他の製品やサービスとの比較の中で必要性が高いかといわれるとそうでもないということなんですけど・・・
ユーザが自らの情報セキュリティ対策として必要なことが分かっていればよいのですが・・・
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
この問題は何も情報セキュリティに限った話ではないと思いますが、やはりここ最近は高い専門性が要求され、かつ秒進分歩で変化のあるIT関連で特に顕著なような気がします。
この問題を解決するには、おっしゃる通りユーザ側で見識眼を持つほかないと思うのですが、なかなかそういった専門家を社内に囲うなんてのは、よっぽど大手でもないと実際問題としては難しいですよね。
ユーザ側にしてみれば「だから外力に頼ってるんじゃないか!」という話になると思うのですが、その頼るべき外力の選定自体が間違っている、適切に行えていないという問題があったりします。
私は常日頃、そういうユーザさん達が気軽に利用できるようなサービスがあるといいなぁとか思うのですが。(顧問弁護士ならぬ顧問IT士?みたいな)
Posted by: waka | 2005.06.09 10:06
丸山 様
こんにちは。
情報セキュリティで商売をしようとする場合,企業である以上利益を考えないといけないので,自社保有特許や技術を商品化することをまず考えてしまうのでしょうね。
でも,これは,目的と手段を逆転することであるということはこれまで縷々述べてきたとおりです。
まず,要求仕様をきちんと見定めなければならない。そのためには,調査費用という予算科目をもっと増加させないと駄目です。
情報を入手するためにお金をかけていなければ「良い情報」を得られないことは当然のことなので,結果的にとんちんかんな経営戦略しか構築できないことも当然の成り行きだと思います。
ユーザの真の需要は,インタビューやアンケートをいくらやっても分かりません。それは,正しい洞察力をもった専門家によって客観的に観察されるものであって,ユーザ自身が意識していない無意識的なものも多く含まれるからです。
だから,真の専門家を誰よりも早く見つけ出し,適切な方法で囲い込み,十分な予算とスタッフを提供して正確な調査と分析をするという基本的なやり方を導入しなければならないわけです。
でも,どういうわけかマスコミうけの良い評論家のような人ばかり重宝されがちなので,困ったものだと思っています。
Posted by: 夏井高人 | 2005.06.09 11:54
ユーザからの求めがないからとか、ニーズがないからといういいわけばかりするベンダがおりますが、なんでユーザが要求仕様を固められるのだろうかと思います。平均的ユーザの大半は、必要十分なことを自ら確定することなどできません。
ましてや昨今は、法規制が要求仕様に影響を与えることが増えているわけですから、ユーザの意図とは無縁に、情報システム上に特定の機能を備える必要がでてきます。
どうして、平均的ユーザがさまざまな法律を踏まえて、必要な機能をシステムに反映できるというのでしょうか。
法規制により、誰もが遵守せざるを得ない、しかもそれをシステム的に実現する必要があるような場合、こうした汎用的機能は言われなくともベンダ側で用意し、提案しなくてはならないのではないでしょうか。
特にコンサルティング契約をしていたならなおさらでしょう。債務の本旨に含まれているかもしれません。指摘しなければ債務不履行です。
一般に建築士が、施工主の生の要望をそのまま図面に反映するわけはなく、法令上の制限を踏まえたアドバイスの中で、提案しながら図面におこしていくのではないでしょうか。
SEに、建築士が兼ね備える程度の法知識を求めることは、無理な注文ではないように思います。
ただし、企業においては、法律の専門家のアドバイスを受けながら、必要な機能の研究をすべきであるとは思います。
法規制を反映した機能を追求することは、強いソフトウェア関連特許のネタを求めることに等しいわけです。法規制対応の要求仕様は、「必要は発明の母」の必要にほかなりませんから。
法律家とのコラボレーションはIT企業においては、経営的にもプラスに働く、銭の宝庫であると私は思っております。
Posted by: 鈴木正朝 | 2005.06.14 20:43
鈴木さん、コメントありがとうございます。現場からの意見はとても参考になりますね。
建築士との比較ですが、ITも人間の安全・安心に多大な影響を及ぼすというのであれば、建築士と同じようにシステム開発士とかシステム運用・保守士といった資格をつくり、その資格をもった人でなければシステム開発やシステム運用・保守をしてはならないという法律が必要かもしれませんね。
そうすれば、専門家としての当然の注意義務として、安全で安心なシステム開発とかシステム運用・保守が含まれる事になりますね。
こういうことを言うときっとシステム開発やシステム運用をしている人は反対するのだろうけど、ITに建築なみに安全・安心が求められるのであれば、当然に同様な社会的制度が必要でしょうね。
弁護士、会計士、建築士といったプロフェッションには関係する業務にたいして独占的な地位が与えられているわけですが、その分責任も重くなっています。ユーザからの要求がなかったからなどという言い訳は通用しない世界です。
都合がよい時だけ専門家といばって、都合が悪いときには、ユーザからの要求がなかったので・・・とか、その分野は私の専門ではないので(本来なら当然しっておくべきことであったとしても)逃げているようでは本当の専門家ではありませんね・・・
専門家であると言う人は、本当に専門家とは何か?ということをよく理解する必要があると思っています。
Posted by: 丸山満彦 | 2005.06.15 08:06