AIにセキュリティを任せたら–「サービス停止」より「情報漏えい」を選ぶ根拠
人間に任せても「サービス停止」より「情報漏えい」を選ぶよね。
「サービス停止」は確実に損失を発生させる。どの程度の損失が発生するか把握するのが最も最初に行うべき対策なので、ある程度しっかりしたセキュリティ対策を取っている企業なら必ず把握している。売上はなくなった上に、経費だけ関係なく(むしろ多く)出て行くので生半可な金額ではなく、あっという間にキャッシュフローが持続不可能なほどに悪化していく。
対して、セキュリティインシデントに対して「サービス停止」を選択しなかった場合に脅威(Risk)が及ぼす損失は未確定である。もしかしたら損失はゼロに出来るかもしれない。
ましてセキュリティ対策の為に物損保険に入っていたりすると、ますます「サービス停止」は遠のいていく。セキュリティ対策の保険はセキュリティインシデントにより損害賠償責任を負った場合に、これを肩代わりする性質のものだからだ。自主的に「サービス停止」を選択した場合、損失利益や業務継続費用などは対象とならない保険が多い。「サービス停止」させずに情報漏洩させたほうが損失が小さくなる可能性まである。
さらに、困ったことに情報システム部門の任務の一つは「サービス停止」を発生させないことにある。本来の任務とは真逆の「サービス停止」すると言う選択は、どうしても障壁の高い物になる。「サービス停止」させない為に予算を使ってきたのに、「サービス停止」するとなれば社内政治的に苦境に立たされかねない。そこに正常性バイアスが追い打ちをかける。脅威や損失を過小に見積もってしまい、「サービス停止」の必要は無いと言う結論に流されていく。
しかるべき時に「サービス停止」するには、下記のようなことが必要になるはずだ。
・セキュリティインシデント対策チーム(SIRT)の独立性が保たれている。
・セキュリティインシデントの脅威を客観的に判定出来る体制がある。
・判定した脅威に対しての行動を具体的に定めてあり、役員会の事前承認を得ている。
・サービス停止時の対応マニュアル。特に事業継続のための事前準備がある。
これらの準備がなければ、判断するのが人間であろうと、AIであろうと「サービス停止」には踏み切れない。とても「サービス停止」に伴う責任など背負いきれないだろう。