「モラルハザード」=「倫理観の低下」は勘違い
「モラルハザード」という言葉がある。最近、いろいろな場面で使われるようになったが、これはもともと、保険業界で使われていた専門用語である。具体的には、保険に加入した人や組織が「保険に入っているのだから少々危険なことをしても大丈夫だ」という認識を持ってしまい、危険回避を怠る状態のことを指す。本来は、企業の倫理観とか、汚職事件などとは関係がない言葉だ。
PCのセキュリティに対しては、この本来の意味でのモラルハザードが起きやすい。
マンションの場合、素性のわからない人物が館内をうろうろしていたら、警察に通報することこそあれ、自宅に招くことはないだろう。ところが、PCの場合には、怪しいウェブサイトから、素性のわからないソフトウェアを疑いもせずダウンロードしてしまうことがある。ウイルス対策ソフト(実は更新期限切れのお試し版)が入っているからと安心してしまい、「何か問題があれば警告が出るだろう」と間違った認識で危険な行動をとってしまう。マンションとPCで、これだけ意識が違ってしまうのだ。
企業システムのセキュリティについて言うなら、多層防御の一番外側の層は、ユーザーに対して、教育をきちんとするということだ。教育といっても常識的なことで、怪しいウェブサイトを参照しないとか、パスワードや暗証番号は推測しにくくするといったことを徹底するだけだ。
単に技術を導入するだけでは企業システムのセキュリティは守れない。ユーザーの正しい知識やセキュリティ意識の向上を含めた「多層防御」が必要なのである。
「多層防御」の概念を図式してみた。技術の導入だけではなく、ユーザーの意識やルールを含めた多層防御があって初めて、会社の情報セキュリティは守られる。
