Last Updated 2003/1/3
セキュリティの収支?
専門家に頼んでセキュリティポリシーを作るといくらかかるのかご存知だろうか。
もちろん「定価」は無く、専門家が少ない現在はノウハウ料込みで高値になってしまうのは仕方がないところだ。筆者がこれを書くとどうしても言い訳じみて来るが(笑)、セキュリティの場合、ノウハウを集めつづけるのにはお金がかかる。同種の情報処理サービス、例えばシステム開発などに比べても、必要とされるノウハウの総量は多く、賞味期限も短い。したがって一人前となるのにも時間がかかり、維持費もかかってしまうのだ。
企業はそのコストを回収しなければならない。となるとそれほど多くはないスポットの案件に高値をつけざるを得ないのだ。
やはり言い訳になってしまったようだが(苦笑)、単純に人月単価などで計算して心積もりしていると、実際に専門家が出してきた価格に驚いてしまうだろう。
一般に対象となる組織のリスクを分析し、ポリシーとそのルール体系を作る、というのを行なうと、期間は最長1年、平均的には半年前後、その間専門家が1〜2人かなりの割合でへばりつくことになるはずだ。
それだけの作業量を、単価が高くなりがちな専門家がこなすとなると、おそらくリスク分析で最大1000万円、ポリシーで最大1000万円、両方あわせて最大で2000万円まではかかってしまうことだろう。もちろん両方を抱き合わせて(笑)価格を下げることも可能だろうし、ここではあえて「最大値」しか挙げていないので実際はもう少し安目なはずだ。
作ってもらう側から言うと、なんだかかなり高い、いや高すぎるように思えるかもしれない。
しかし本当にそれは高いものなのだろうか?(ここからが本当の言い訳かも知れない(苦笑))
現在係争中である京都府宇治市の住民情報漏洩事件では、高裁が住民情報一人1万5千円、という判断を見せている。漏洩した情報の数は21万件なので、単純にそれを掛け合わせると30億円にものぼる。宇治市の平成14年度予算案(収入)は531億円なので、その6%だ。まさか分割が許されるわけはないだろうし、特別損失にするのかどうか、いずれにしても凄まじい打撃となるのは必至だろう。まだ住民情報であれば、その内容はせいぜい住所や電話番号、年齢性別あたりかも知れない。しかし、TBC(Tokyo Beauty Center)の事例ではもっと深刻だ。エステティックの最大の顧客層はまず女性だろうし、しかも資金力があるのは若い女性が中心だろう。漏洩した情報がそういう範囲に限定できるだけでも、使う側から言うと「利用価値」がものすごく高くなる。しかもその内容に「スリーサイズ」や「悩み事」まで含まれているとか。となると情報の「利用価値」はうなぎのぼりになる。
そもそも被害を受けた側から言わせると、例えスリーサイズが含まれていない住所や電話番号だけであっても、その後それを利用(悪用)されて起きる被害を考えると1万5千円は安すぎるというものだ。損害賠償の金額はもともと驚くほど安いものだが、それにしても安い。となるともしかしたら、安い、という不満を抱いた被害者が、別な訴訟を起こすかも知れない。すると1件の単価は1万5千円どころでは済まないことも有り得る。
情報にスリーサイズや悩み事が含まれてい
Copyright © 2002-2003 Sonoda Michio
●Security INDEXへ