今日、サイバーセキュリティを軽視するのは、ほとんどポーズのようなものだ。習慣になっている。
セキュリティは今なお、足かせになり、遅らせ、ビジネスの歯車に砂を噛ませるものとして語られる。あまりにも繰り返されて、真実のように見えてしまう考え方だ。だがそれは、実際の評価というより怠惰な反射にすぎない。
企業の語り口の中では、セキュリティはしばしば純粋なコストとして描かれる。余計なチェック。長いパスワード。「時間を無駄にする」手順。誰もセキュリティが無意味だとは公然と言わないが、含意はそうだ。急ぐなら、セキュリティは後回しでいい。どうせ何も起きない。
少なくとも、今日ではない。
スピードと保護の間にある偽りのジレンマ
問題は、この対立の大半が作り物だということだ。
セキュリティ対生産性。まるで相反する二つの力で、片方が必ずもう片方を食い潰すかのように。これは、もっと厄介な課題――本当に機能し、かつ安全なプロセスを設計すること――を単純化するための都合のよいやり方だ。
セキュリティが欠けている、あるいは付属品のように扱われていると、ビジネスは加速しない。むしろ無防備になる。
そして遅かれ早かれ止まる。
30分でも、飛んだ1本の通話でもない。
本当に止まる。数日。数週間。
部署全体が停止し、システムにアクセスできず、人々は待つ以外に何をすればいいのか分からない。遅くなるどころの話ではない。
停止が理論ではなく現実になったとき
丸々数週間、業務を止めた企業もある。生産は停止。物流は麻痺。顧客が電話してきても、誰も本当の意味で対応できない。誰かがチェックを増やしすぎたからではなく、そのチェックが存在しなかったからだ。あるいは、どこかの忘れられたポリシーの中に、紙の上だけで存在していた。
そういう瞬間にビジネスは厄介な事実に気づく。セキュリティはブレーキではなく、シートベルトだったのだ。必要になるまで見えないが、必要なときには不可欠。そしてそれがないと、衝撃は上品ではない。混沌として、騒々しく、金がかかる。復旧後も長く尾を引く。
誰もExcelの表に入れないコスト
「セキュリティは遅らせる」という語りは、いつも間接コストを無視する。事後に失われる時間。焦って下される判断。場当たり的な例外措置。「今は仕事をしなきゃ」とシステムを迂回する人々。ビジネスが本当に速度を失うのはそこだ。妥当なコントロールを実装するときではない。
そして、もう一つ見落とされがちな点がある。重大なインシデントで企業が止まっているとき、もはや何も決められない。振り回されるだけだ。あらゆる選択が反応的で、混乱し、圧力下で行われる。これは生産性ではなく、生存だ。
しかも、うまくもない。それはクライシスマネジメントと呼ばれる。
セキュリティは条件であって、オプションではない
セキュリティを時間が余ったら後でやるものとして扱うのは、現在の状況を理解していないということだ。道徳でも、思想でもない。運用の問題だ。最低限のセキュリティがなければ、現代のビジネスは流れない。引っかかり、そして遅かれ早かれ止まる。トゥラァァァァァック!
うまく回っている企業とは、チェックがない企業ではなく、チェックが現実の仕事の中に収まるように考えられている企業だ。対立するのではない。上に乗るのでもない。中にある。
見た目ほど派手ではないし、たぶんそのせいで語られ方も悪い。
なかなか死なない考え
それでもマントラは残る。「セキュリティは遅らせる」。
まだ耳にする。小声で、閉じた会議で。これは都合のよい、楽な思考の近道だ。だが本当の停止が来ると、誰も遅さの話などしなくなる。
そして、問題はセキュリティではなく、出発条件としてではなく邪魔者として扱ってきたことだったと分かる。
単純で、ほとんど陳腐なミス。それでも今なお多くの人がやっている。