こんにちは!
1級FP技能士のアシまるくんです!
第1章『これはチャンス、フランス語でなくても勉強しなおそう』
さて、こちらのudemy講座を受講&修了してきました。
かなり良い講座で、多くの方に受講いただきたいので、詳細はこちらでは語りませんが、高いレベルのセキュリティの作り方とその必要性について学ぶことができ、とてもためになりました。(*1)
セキュリティレベルの高さというのは大切なんだな、なるほど、ふむふむ、と思った一方で、講座を修了した私にはとある疑問が残りました。それは、
【はたして、セキュリティレベルは高ければ高いほどよいのだろうか?】
というものです。
今回は、この疑問に至るまでの経緯と解決しよう少し調べたらあまりの奥深さに面食らった、というお話です。
(*1)3時間かそこらで、"自分、セキュリティの勉強したことありますよ"と言える(嘘ではない)のは、個人的にはありがたいなと思います。そういえば、情報セキュリティマネジメント試験っていいんですかね?
第2章『減るコストあれば増えるコストあり』
当然ですが、セキュリティを強化すれば、外部からの悪意のある攻撃を受けるリスクが減ります。これすなわち、
・サイバー攻撃を受けることにより生じる損害(実損補填など)を抑えられる
・企業としての信頼という見えないが将来の利益に直結するものが守られる
という2点において、"セキュリティを強化することで会社としてのコストは減っている"と考えることができます。
一方で、セキュリティを導入することによるリスクも発生します。
・セキュリティ自体の導入費用はもちろん、そこに割く人材(人件費及びそこに人を割くことでできたはずの業務ができなくなるため、逸失利益が発生する)も必要であり、まさに時間もお金もかかる。
・セキュリティの強化によりユーザーにとっての手続きが煩雑となり、潜在的なユーザーを逃す虞がある。("こんなに手続きメンドクサイなら新規登録やめよう"というサービスの敬遠)
と言った点で、文字通りの出費と潜在ユーザーを逸失するという点で"セキュリティを強化することで会社としてのコストは増えている"と考えることができます。
増えるコストと減るコストがある場合、単にセキュリティを強化し続ければいいという話ではなく、これ以上セキュリティを強化すると、減るコストが増えるコストを下回ってしまうポイントが存在するはずです。(*2)
要するに、"単にひたすらセキュリティの強化を目指すのではなく、ちょうどいい塩梅というものがあってそこが到達点になるのではないか?"といった疑問が湧いてきたわけですね。
(*2)需要曲線と供給曲線が分かる方は、その均衡価格の理屈と同じです。
第3章『いろんな学問があるもんだなぁ』
と思って、chatGPTのDeepResearchを用いて、ごくごく簡単に調べてみたところ、"セキュリティ経済学"なんていう分野があるんですね。いやはや、浅学でお恥ずかしい限り。
1つの学問として、確立されているようです。
まず面白いのは、"最適なセキュリティ投資は、期待損失の37%を超えない"(*3)という点です。こちらは、Gordon & Loeb (2002) "The Economics of Information Security Investment"という論文に書かれています。
https://www.researchgate.net/publication/220593665_The_Economics_of_Information_Security_Investment
また、この分野の第一人者と言われるRoss Anderson氏の名著"Security Engineering"が以下のサイトで公開されています。
Chapter8:Economicsをほんの少しだけ目を通してみると、超序盤に、"多くのセキュリティの失敗は技術的なエラーによるものではなく、誤ったインセンティブのせいである"と書かれています。
ここからは私の推論も交えた話になってしまうので、正しい情報を知りたい方はぜひ原著に挑むか、ご自身でお調べいただきたいのですが、多分セキュリティって自然な経済に任せておくと十分な強さまで到達しない、ということなんだと思いました。
損得で考えると、ある程度のところまで対策すればそれ以上は費用過多になってしまいがち。だからこそ、法律やガイドライン、もっと広い範囲では国際的な基準を設けて、そこに到達させるように外部的な働きかけが必要になる。そういった意味で、インセンティブの問題と言われているのかな、と感じました。
この本のChapter8は、ゲーム理論や囚人のジレンマも登場し、なかなか面白そうなので、ぜひ一度は読んでみたいのですが、36pもある英語のガッツリテキストを読むには、時間が足りないですね。ざっと目を通した感じ、平易な英語で書かれていて読みやすいので、英語自慢の方、ぜひチャレンジしてみてはいかがでしょうか?
(*3)37%と聞いて、1%の排出ガチャを100回回しても当たらない確率と思えた方はお見事!確率リテラシー高いですね!そうです、自然対数eの逆数ですね。