スーパーゴールシュートを止めるのは難しい(セキュリティのお話)

自分は普段IT界隈で仕事をしているため、否が応でも新しい技術の話題が飛び交います。
そんななか最近一般的にもでてきている用語として「仮想通貨・暗号通貨」なるものが出てきています。

これまでの紙ベースのお金に変わる新しい通貨としてビットコインを中心として使われています。（まだ紙のお金が主流であることから、主に投資目的での使用が主となっていますが、、、）

そんな仮想通貨ですが、今年相次いでこの通貨の流出がニュースとしても取り沙汰されました。

流出額が額なだけに仮想通貨を普段使っている人でも「仮想通貨は危ない」「使わないほうがよさそう」と敬遠される人もいるのではないでしょうか。

ただ、個人的には一概に流出したから危ないというのはあまりにも単純的な考えなんじゃないかなーと思うわけです。

そもそも仮想通貨に限らず、ITの世界ではセキュリティという考え方があります。（セキュリティの専門となる資格もあるくらいです）

セキュリティではハッカー等インターネット上で悪いことをする人達から身(会社)を護る必要があります。そのために、どういうことをしなければならないのかという指針がIPAをはじめとして様々な団体・機構によって掲げられています。

その中では様々な事項があるのですが、その中で個人的にいつも頭の片隅にあるのが、セキュリティマネジメント、特にリスクの事項です。

情報セキュリティにおいてリスクは大きく分けて4つのカテゴリがあります。

・リスク低減 -> いかにリスクを抑えるか（情報の暗号化等）

・リスク回避 -> どのようにしてリスクをなくすか(リスクがある機能をなくす)

・リスク保有 -> リスクを受容する(ある意味諦め)

・リスク移転 -> リスクを外部に投げる(保険に加入し、事故がおきても金銭保証してくれる)

と細かくリスクという言葉一つとってもこれだけ考え方があるのですが、
一般的にリスクという言葉を使うときには、「リスク回避」という感覚しかないのではないのでしょうか。

要は、「危険はすべて取りのぞく」という思考。

ITの世界だと特に顕著で、例えば余計なサイトに行かせないためにプロキシを挟んでアクセス制御したり、決められたアプリケーションしかインストールできない仕様にしたり。

確かにこのリスク回避という考え方は否定しませんし、必要に応じて実施すべきなんでしょうけど、あまりやりすぎると何もできなくなってがんじがらめになるリスクが生じかねません。

昨今ビジネスの世界は急激にスピードを上げており、新規事業や新しいことをするときにはゆっくりしていると他の会社に先を越されてしまいます。

そのため便利なものはどんどん取り入れていきつつ、かつ新たなシーズからビジネスを作っていきたいというニーズはあるかと思います。

その上で足かせになるのが、セキュリティです。新しいアプリや新しい技術だと技術が枯れておらずかつ習熟したエンジニアがいないために、リスク回避という面から見たときに突かれやすいのは、これまでの技術と比較した場合に顕著にならざるを得ません。

セキュリティ的に危ないという意見は表面的な話だけでことを進むと、巨人のようなスピードの遅い会社のようになってしまう可能性が生じてきます。

しかし、問題なのは前に書いたように「セキュリティ = リスク回避」という1次元的な見方しかできていないことだろうと思います。
つまり、もっとリスク保有・リスク移転・リスク低減にも目を向けてそれぞれでバランスをとりながらセキュリティの方針を定義すべきだと思うのです。

例えば、ブロックチェーンや仮想通貨のビジネスは明らかに"これから"産業であり、まだまだ技術的な革新が行われる分野です。
ですので、エンジニアは未だ技術の学習も模索的な状況が続いているかもしれません。その一方でクラッカー（一般的にはハッカーともいう）にとってみればセキュリティホールが見つかりやすい分野であることもあり、いわば絶好の的、カモみたいなもんです。

そうなってくると当然突かれてお金が流出するという問題が発生しうるわけです。（おそらくこういった事件はもう数年くらいは起きうるんじゃないかと思います）

でも、これって一方的に取られた側の過失が全てあるかというとそんなことないんじゃないかなと思うのです。

サッカーで例えてみれば、優秀なゴールキーパを雇ったところで、それ以上に素晴らしいストライカーが華麗なシュートを打たれてしまったら、どうしても点が入るわけじゃないですか。

で、それに対して「ゴールキーパーちゃんとやれよ！」と思うよりは「いやあのシュートは無理だべ....」というようにストライカーを絶賛する声が上がると思います。（ゴールキーパーに落ち度があった場合は別）

サッカーのたとえと同じで、いくら手を尽くしたとしてもセキュリティなんてものはいたちごっこみたいなもんですから、それ以上に凄腕のクラッカーにやられてしまったら元も子もないわけです。

そういったリスクがある状況において、企業として大事なことはリスクを回避する策をできる限り洗い出すことはもちろん、例えばこれくらいはお金がでてしまっても仕方ない、保険をかけておくなどの方針を事前に決めておくことが大事なんじゃないかなと。（お客さんのお金をなんらかの形で確実に保証することは最低条件）

とはいえ、流出ってのはニュースになりやすいですし、明らかに企業イメージダウンにつながるので難しいところではあるんですけどね。

それこそ、セキュリティやリスクに対してきちんと4次元でどういう施策をうっているのかを企業として提示しつつ、もしその施策の範囲外の問題が起きたときにはきちんと状況説明するという文化がきちんと浸透していけばいいと思うのですが、、、なかなか難しいものですかね。