標的型攻撃が生んだセキュリティビジネスの闇
ITmediaの連載記事「日本型セキュリティの現実と理想」において、「第16回 標的型攻撃が生んだセキュリティビジネスの光と影」と題した記事が公開されているが、これがとても良い記事だと思ったのでご紹介したい。
第16回 標的型攻撃が生んだセキュリティビジネスの“光と影” http://www.itmedia.co.jp/enterprise/articles/1602/10/news032.html
まあ、端的に言ってしまえば、『標的型攻撃』がマスコミで話題になっているという状況を利用して、商売にしている業界の方々がいらっしゃる。
ということなんですが、まあ、実際その通りで、自分もその一翼を担っていると言えなくも無いので、現状を苦々しく思う反面、耳が痛い話でもある。というのは複雑なところ。
標的型メール訓練サービスって利益率いいんですよ
標的型攻撃メール対応訓練実施キットの販売を始めたての頃、標的型メール訓練サービスをやっていた会社の人に、標的型メール訓練の市場について訪ねたことがあるのだけれど、その時聞いた話で印象深かったのが、
「標的型メール訓練って利益率がいいので、結構おいしい商売なんですよね。」
という言葉。今はどうか知らないけれど、当時は1回数百万円で請け負っていたみたいだから、訓練をやる度に百万円の単位で丸々儲けになっていたのだと思う。
そりゃあそうだよね。作業をほとんど自動化してしまえば、かかる手間なんて打ち合わせの時間と、数時間の作業くらい。いくら人件費が高いと言っても、実質的なコストなんて数十万円にもならない。下手すりゃ数万円のレベル。
原価がそんなだから、数百万円も請求できたら、そりゃあ「おいしい商売」だっていうのも当然だあね。
でも、食べていけなきゃ続けられないのもまた、現実
百万円の単位でぼろ儲け。なんて言うと、「なんてアコギな商売してるんだ」と思うかもしれないけれど、セキュリティ技術は日進月歩、常に新しい技術や手口が登場してくるから、キャッチアップするだけでもかなり大変。
高い知識や技術を持った人材を抱えれば、当然人件費はかかるし、技術や情報のキャッチアップを続けるにはコストもかかるから、そのための持ち出し分をどこからか持ってこないといけない。
薄利多売ではキャッチアップの時間が取れなくなってジリ貧になるのは目に見えているから、高額な商品にして、数を売らなくとも商売が回る仕組みにせざるを得ない。というのは、まさにセキュリティビジネスのダークサイド(闇)。
マスコミだって、誌面や読者サービスを充実させるにはコストがかかるから、広告費が見込めるセキュリティ業界におもねって、『標的型攻撃』による危険性を煽るような企画を立てたりするのも、致し方ないと言えば致し方ない。
人間、食べていけなければ何事も続けることができない。という現実には逆らいようが無いのである。
では、お客さんは被害者なのか?
このように考えると、高い金額を請求されるお客さんの側は、ある種、被害者のようにも思えてくるけれど、本当にそうだろうか?
セキュリティについて何も勉強せず、ハナから業者に丸投げで、何かあったら、お金を払ってるんだからそちらでどうにかして下さいよ。と言って責任を押しつけるお客さんは意外と少なくない。
まあ、気持ちはわかるけどね。
例えば「SQLインジェクション対策もれの責任を開発会社に問う判決」なんかは、この件について考えさせられる事柄は多い。
お客さんの側は何も勉強せず、とにかくお金を払っているんだから、全部業者さん側で対処して下さいよ。なんて言われ、それを請けざるを得なかったら、業者の側としては、あらゆる事態を想定して備えておかなければならなくなる。当然、手間もコストもかかるから、会社を維持するには商品やサービスの価格を高額に設定せざるを得なくなる。
範囲を限定すればコストは下げられるのに、それができないからコストを下げられない。
こんな現実の前では、お客さんの側は純粋に被害者なのか?というと、そうとは言えないだろう。
闇を生み出しているのは誰でも無い、そこに関わる全員なのだ
セキュリティ対策はお金がかかる。と言われて久しい。だが、本当にそうなのか?
たいして勉強もせず、全てを業者任せにするユーザー。
会社を維持するために高額な商品の販売を煽るベンダー。
媒体維持のために記事を通して危険を煽るマスコミ。
こう書くと、まるで悪者ばかりのようにも思えるけれど、実際には誰も悪気があってやっていることでは無く、結果的にこの悪循環が、セキュリティ対策はお金がかかる。という現状(闇)を生み出してしまっているというに過ぎない。
例えば、セキュリティ対策にお金がかかると言うけれど、飛行機に乗らなければ飛行機事故に遭わないのと同じ理屈で、そもそも重要な情報なんか置かなければ、対策なんて不要なのだ。
そういった根本的なことすら考えなかったら、幾らお金があったって足りるはずが無い。一歩譲って、そこに重要な情報を置かざるを得なかったとしても、知識と創意工夫でできる対策もあるのだから、そういったことをきちんと考えれば、お金をかけなくたってできることは少なくない。
こう言うと語弊もあるのだけれど、組織の中で情報セキュリティを担当される方の中には、不勉強だと思われる方も少なくない。組織のセキュリティ担当と言えば、会社の資産を守る要とも言える要職なのに、せめてこれくらいは。と思うことすらわかっていないケースもある。
置かれている状況や事情もわからなくはないのだけれど、やはり、もっと勉強しようぜ。と思うのだ。
闇を生み出しているのも、そして、それを解消できるのも、全て自分達の心がけ次第だと思うのだが、いかがだろうか?
→次の記事へ( 標的型メール訓練の実施に回数の話を持ち込むのは、もうやめにしよう )