巨大な熱帯低気圧(ハリケーン)である「カトリーナ」は,米国に甚大な被害をもたらした。相手が巨大過ぎて,人間の防御策はほとんど効を奏しない。しかも,ハリケーンが去った後の対応がまずく,被害を拡大させてしまったと言われている。
ところで,最近,サイバーカトリーナ(Cyber Katrina)という単語をしばしば目にするようになってきた。
Fearing 'Cyber Katrina', Obama Candidate for Cyber Czar Urges a 'FEMA for the Internet'
Bussiness Week: February 18, 2009
http://www.businessweek.com/the_thread/techbeat/archives/2009/02/fearing_cyber_k.html?chan=top+news_top+news+index+-+temp_news+%2B+analysis
これは,インターネット全体に対する巨大な攻撃がなされ,ネットを使った業務が全くできなくなってしまうような事態のことを指すものらしい。ニューヨークの大停電の際には,ニューヨーク周辺だけとはいえ,電気によって動いているコンピュータシステムが全然動かなくなってしまった。
停電でなくても,主要なサーバの大半に対して同時にDoS攻撃が網羅的に仕掛けられた場合,確かに,仮にサーバそれ自体の防御には成功したとしてもネット全体が防御のための負荷に耐えられなくなってしまってブラックアウトしてしまう危険性はある。もちろん,セキュリティの弱いサイトは全滅してしまう。
このようなリスクを考えると,企業の機密書類や金融・経理関係の書類を含め,重要な書類を全部電子化してしまうことには大きな危険が伴うということが理解できる。
また,電子データを集中管理することは非常に危険だということも理解できる。分散管理の場合,どこかが破壊されても復旧することは可能だし,予備のサーバで業務を継続することが不可能ではないのだが,たとえば巨大なクラウドコンピューティングプロバイダにすべてを任せる企業が事情に多数あったとした場合,そのシステムが破壊されればもちろんのこと,破壊されなくても攻撃に対する対処をしている間は業務のためにシステムを使用することが不可能になってしまう可能性が非常に高い。
やはり,重要なデータはネットと切り離して管理すべきだろうし,自前のサーバを運用し,きちんと報酬を支払ってセキュリティ専門家に管理を任せるようにするのが(一見するとコスト高のように見えても)実は最も効果的な予算の使い方であるのではないかと思われる。
ベンダーは,「***システムによるソリューションを導入すれば全部大丈夫」というような安易な営業を即座にやめるべきだ。どんなシステムを導入しても常に大きなリスクがあるし,コスト削減にはならない。リスクをきちんと説明し,その対応策を導入するために必要jな予算額を適切にアドバイスし,システムを導入することによってコストが大幅に削減にはならないという当たり前のことを正直に述べ,それでもなお電子化することによって大きなメリットが得られる事柄をきちんと説明して顧客に納得させることのできるベンダーだけが生き残るべきだろうと思う。それができず,製品やサービスのカタログスペックを口で読みあげるようなことしかできないベンダーは生き残るべきではない。
最近のコメント