AIBR プレミアム
拓海先生、最近部署で「モバイルソーシャルネットワーク(MSN)って危ないから対策が必要だ」と言われまして。正直、何が問題でどこに投資すればいいのか見当がつかないんです。要するに何を守ればいいんですか?
素晴らしい着眼点ですね!大丈夫、整理して考えれば必ず見えるんです。MSNの安全性は大きく三つに分けられます。信頼(trust)、セキュリティ(security)、プライバシー(privacy)です。これを守ることでサービスの信頼性と利用率を高めることができますよ。
三つですか。で、現場で一番手を付けるべきはどれでしょうか。限られた予算で効果を出すにはどれに投資すればいいのか知りたいです。
結論を先に言うと、まずは信頼(trust)の基盤づくりが投資対効果(ROI)が高いんです。理由は三つあります。第一に、信頼が壊れるとユーザーが離れてしまい回復が難しい。第二に、信頼の仕組みは他の対策と相互作用して全体の安全性を高める。第三に、現場ルールと技術を組み合わせれば比較的低コストで効果が出るんです。
なるほど、でも現場の技術者が言う「アクセス制御(access control)」「秘匿性(confidentiality)」とかは後回しでいいんですか。これって要するに信頼を作れば他は自然についてくるということ?
良い要約ですね!完全に正確ではないですが、本質はその通りです。ただし重要な点が三つあります。第一に信頼基盤だけでは不十分で、アクセス制御や侵入検知(intrusion detection)は必須の底力として並行すべきです。第二にプライバシー対策は法令順守と顧客信頼のために早期に着手すべきです。第三に現場でできる運用ルールの整備は最も低コストで効果が出る対策なんです。
具体的に運用で何をすればいいのか、現場はまだピンと来ていません。現場の負担をできるだけ増やさずに導入するにはどうすればよいですか。
安心してください。一緒にやれば必ずできますよ。導入の骨子は三つで考えます。第一にリスクの優先順位付け、第二に最小実施単位での試験導入、第三に現場の作業に寄り添う自動化です。まずは小さく始めて成果を見せる、それが経営判断を後押ししますよ。
なるほど、試験導入ですね。最後にもう一つだけ確認させてください。これって要するに「まずは信頼の土台を作り、小さく運用改善を回しながら、その結果をもとにセキュリティとプライバシーの技術投資をしていく」ということですか?
その認識で完璧です!特に経営判断としては三点で説得力を持てます。第一に短期で見える成果を出すこと、第二に現場負担を抑えつつ制度化すること、第三に段階的に技術投資を拡大していくこと。大丈夫、一緒に計画を作れば必ず実行できるんです。
わかりました。では私の言葉で整理します。まず信頼の基礎を固め、次に小さな実験で運用を回し、その結果を根拠にセキュリティとプライバシーに投資していく。この方針で現場と一緒に進めてみます。本日はありがとうございました、拓海先生。
