セキュリティ対策、どこまでやるかの判断能力
- (2013-09-17 17:41:20)
怪情報
XPの脆弱情報が、現在、高値で闇取引されているというウワサが聞こえてくる。サポート終了を狙って大規模なアタックを企てる連中もいるとかなんとか。
本当の話かもしれないし、ソフトベンダーやPCメーカーが意図的に流している可能性も空想できる。
生産的でないセキュリティ対策
セキュリティ対策はいくら行っても非生産的な投資。収益が上向くわけでないが、かといってやらなければあっという間にビジネス自体が崩壊するリスクが増大する。
しかし、セキュリティ対策の病的な問題は「いくらやってもキリがない」という事実。いくらでもリソースの投下が可能で、しかも満足に至ることは永遠にない。精神衛生上、非健康的な問題だ。大企業のセキュリティ担当者には、心を病んだ人もいるだろう。
セキュリティ対策の程度加減は、経営センスか?
本気モードでやるととにかく湯水のようにリソース(労力・体力・時間・コスト)を消費するセキュリティ対策は、無関心ではいられないが、・・・である。
セキュリティ担当者に求められるノウハウは、セキュリティ対策の知識や情報の前に、やるべきか・やらざるべきか、やるならどこまでやるかを的確に判断できる能力やセンスではなかろうか。リスクの数量化と対策コストとの相関関連図を描けるかどうか。
こんへんは経営センスに属する部分と思われる。セキュリティ対策は、情報感度を高く保ちつつ、最低限をベースとした対策が基本になるのではなかろうか。
ところで、XPサポート終了後のXP
「大規模アタック」というウワサがあるが、大規模アタックを企てる人々が仮に存在するとしたら、自分たちが不利になるようなウワサを流すわけがない。真の攻撃者は人知れず忍び寄るものだ。
買い換え需要で、書き入れ時のPCメーカーやMSさんが一番おいしい部分をいただき、この波でも残ったXPユーザーは、中小企業や個人ユーザーだろうから、破壊工作を企てるハッカー達のターゲットとしてはおもしろみがない。
自分が考える範囲では散発的なネットバンクなどのアカウント乗っ取りやボットネットの構成マシンとして乗っ取るくらいしか思いつかない。大騒ぎするほどの混乱は来ないと予想している。