ぴぽろじ

自分と誰かの役に立つといいなと思って書いてる備忘録

なんでセキュリティをやらなきゃいけないんだろう

f:id:pipologic:20170615210839j:plain

こんにちは、ピーポーです。
私は都内の小さなSIerで、あるマイナーなセキュリティ商材を売る仕事をしています。


転職ばかりしていますが、業界経験はそれなりに長いので
講師としてセキュリティについて語ったり、お客様にご提案したりという
普通の社会人より少しだけセキュリティについて詳しい人、というポジションを今の会社では確立しつつあります。

そんな中、セキュリティに興味がない(が、仕事なのでセキュリティ商材を売っている)同僚が言った一言に答えを出せずにいます。

なんで、セキュリティをしなきゃいけないんだろう。

タテマエがいろいろあるのは知ってる

企業研修では、適切なセキュリティ対策(またはルールの遵守)を行わなわずに、情報漏洩事件なんか起こした日には

社会的制裁という何やら非常に恐ろしいことが起こり
企業の信用の失墜からの取引停止からの場合によっては個人への損害賠償請求からの一家離散という
会社も個人も奈落の底に突き落とされるんですよああ恐ろしい気をつけてね!!本当に気をつけてね!!
って話をされると思います。
こんな教育ビデオも売ってたりしますしそれはわかるんですけど

www.nesic.co.jp


少なくともこれで同僚は納得しないようで、私も胸の奥にずっと感じてた違和感を思い出しました。
これはセキュリティ売る側に立ってたからこそ忘れてた違和感なのかもしれない。

いや、社会的制裁からの流れが完全に嘘だとは言わないし
某ベ〇ッセの事件みたいに、故意でやってるなら犯罪でいいと思うんですけどね。

わざとじゃないケースあるじゃないですか(うっかりPC紛失とか)
あと攻撃に遭った被害者のケースあるじゃないですか(ゼロデイ的なやつとか)

そういう時、ちょっと責められ過ぎじゃない?
って思うんです。


社会的制裁って、できれば犯人に向けられるべきであって
なんで被害者が怒られないといけないんだろう。そりゃ少しは落ち度があったと思うけど最近風当り強くない?そんなの辛い、悲しい。もっと世界が優しくなれればいいのに。そしたらセキュリティ売れなくなって困るんだけど!!


でもまぁ、なんかしらの事業を営んでる会社さんなら、必要最低限のセキュリティ対策はしてもらわないと利用者としては、安心してその会社のサービスを利用できないって理屈はさすがに解るし
IPAさんがガイドライン出してくれたり

www.ipa.go.jp

www.ipa.go.jp

してるし
そのうちこれがジョーシキの世の中になったら
こういう同僚みたいな疑問を抱くこともなくなるのかな。

 

お客様にそういうこという人いるよね

今のところ、お客様にも一定数納得しない人いるんだよねー。

ウチみたいな小さい会社は関係ないよーとか、そういうこと言う人。

そういう人もいつか変わるのでしょうか。


実はいま、WannaCryの一件で、世の中の会社が何となくなんかやらなくちゃいけない!みたいな空気になってて
セキュリティ売る側としては特需じゃー!売りまくれー!みたいになってるのが本当のところなんだけどさ(もう終わりかけてるけど)


私はお客様に本当に必要なものを届けられてるのか自信がない(これはただの愚痴)

願わくば、関係ないって言ってた人にもイヤイヤじゃなくて納得した形のセキュリティがありますように。
まだ答えは出てないです。