情報セキュリティ強化に対する制度論的アプローチ
サンフランシスコで開催中のRSAカンファレンスにおいて、セキュリティに関する法規制と企業責任に関するディスカッションが行われたようだ。
一般的な企業の現場ではセキュリティ投資に対する経済的インセンティブはまだまだ低いのが実情だ。いくら政府の委員会で「情報セキュリティが重要だ、産官学で協力して強固な体制を作ろう!」と叫んだところで、先立つものがなければ単なる掛け声で終わってしまい、盛り上がっているのはセキュリティ関連企業だけということになりかねない。様々な省庁が主催する委員会から立派な報告書がPDF配布されているが、肝心の企業側にセキュリティ対策のメリットがなければそこに自ら投資を行う動機は生まれてこない。
社会全体として情報セキュリティの水準を高めるためには、セキュリティに関する損害を、情報を扱う各企業等の全面的な責任と位置づけ、セキュリティ対策への経済的インセンティブを設けるのが理にかなっている。社会全体のセキュリティ投資が促進されセキュリティ業界にとってはありがたい話だが、今まで以上にリスクを負わされる一般企業はいい迷惑かもしれない。セキュリティにある程度目をつぶっても、革新的な新製品や新サービスを提供できた方が社会全体としてのメリットが大きい場合もあるだろうし、がちがちのセキュリティを要求することで新たなビジネスの芽をつぶす危険性もある。
これまでのような「セキュリティは重要」といった掛け声や、奇抜なセキュリティ技術の研究開発への投資だけでなく、こういった制度面からの情報セキュリティ強化に対するアプローチについても国内の議論を深めていく必要があるだろう。
【参考情報】
■The Fight Over Cyber Oversight(Kim Zetter@WIRED NEWS)
http://www.wired.com/news/privacy/0,1848,66632,00.html?tw=wn_story_page_prev2
■不正キャッシュカードのコストは誰が負担すべきか(崎山伸夫のBlog)
http://blog.sakichan.org/ja/index.php/2005/02/12/p112
■「情報システム等の脆弱性情報の取扱いに関する研究会 報告書」の限界(崎山伸夫のBlog)
http://blog.sakichan.org/ja/index.php/2004/04/12/p77
■Why Information Security is Hard An Economic Perspective(Ross Anderson)
http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/econ.pdf
■Why Cryptosystems Fail(Ross Anderson)
http://www.cl.cam.ac.uk/users/rja14/wcf.html
(2/18:追記)
CNETにも同じトピックを扱った記事が掲載されていた。Wiredが企業責任を中心に書いているのに対し、CNETは政府による規制を中心に書いているが、内容が端折られすぎていてポイントがわかりにくくなっている。
■Time to regulate the software industry?
http://news.com.com/2100-7348_3-5579963.html
■ソフトウェア産業を規制すべきか–米でパネルディスカッション
http://japan.cnet.com/news/sec/story/0,2000050480,20080762,00.htm
最近のコメント