セキュリティコンサルタントの責任のなさ
サイバーセキュリティに関するプロジェクトは、巷にあふれており、セキュリティ人材は数年は引っ張りダコ状態となるであろう。
しかし、私はひとつの疑問に直面している。それは、セキュリティに関わる人たちの責任問題である。
家に例えると、「あ~防犯対策に、アルソックと契約しておくといいですね。そうすれば、泥棒に入られたときには、すぐに気が付きますし、何より泥棒がアルソックのある家は狙いません」
こんなことを言いますが、実際に泥棒の被害にあった場合は、何も保障してくれません。いわば、魔よけ。
「このシステムは外部からのサイバー攻撃が防げてません。IPS/IDS導入しないと、情報漏えいし放題ですよ」と言われ、導入するものの、実際に情報漏えいしたら、、、何も責任がない。(そういうものであり、文句を言うのはおかしいが、、)
これが損害賠償とセット販売されたとしたら、「ここまで導入されていたら、損害賠償払います」結構人気出るかもしれません。
その代わり、そのシステムオーナーに雇われたハッカーのサイバー攻撃と対峙しなければなりませんが…