顧客の「セキュリティは大丈夫なのか」という問いの答えは何か。

最近、私には悩みがある。

顧客の方から、システムのセキュリティは大丈夫なのか、という質問が必ず来るのだ。それに対し、私は何て答えればよいのか悩んでいる。確かに今作のWebシステムでは、年金の問題を始めとした情報漏洩が心配されている。それで自分の会社の評価が下がるのを極端に恐れている。とりあえずセキュリティは大丈夫かを聞くみたいなのは最近の流行りのようである。

さて、ここでいうセキュリティとは一体なんなんだろうか。

一般的な「XSS」「SQLインジェクション」「CSRF」などの脆弱性について理解はあるし、それに対応している。ただそんなことを説明して納得してくれるのだろうか？そんなことしても年金の問題とかはそれをオペレーションしている側の問題であった訳で（手順がそもそも悪いとかはさておき）、それに関してはどんなに努力したところで誰も防ぎようがない。100%安全なシステムなんてありえないのである。

そうならないように努力すれば、100%に近づけられる。そうみんな思ってやってはいるが、100%安全ですなんて言っている業者がいたらそれは嘘をついていることになるので信じるべきではない。だとすると、ここで何を言えばいいのだろうか。

そもそも情報漏洩なんて言ったら、Google Chromeを使っていればGoogleに常にあなたが何を閲覧し、何をクリックしたのか全部把握されている。そういうプライバシーが嫌であれば、そもそもインターネットを使わない、という選択肢以外ありえない。

悩んでいたのでとあるWebサービスの「よくあるご質問」コーナーを拝見し、「セキュリティは大丈夫ですか？」という問いがあった。それに対しての答えとして、「弊社はAWSと呼ばれるアマゾンの提供する安全なクラウドシステムでサービスを構築しているため、安全です。」とあった。そんなの、AWSキーとシークレットが誰かのオペミスで漏れれば一瞬で終わりだ。果たしてそんな説明でいいのだろうか。

つまり、セキュリティについてそもそもわかっていない顧客に対し、セキュリティ対策の答えなんてあるのだろうか、いやない。

そもそもセキュリティで問題を起こして一番困るのは誰か。

例えば自社サービスで情報漏洩が発生したとしよう。それを利用していたユーザーは、「そのサービスを利用していた自分たちが悪い」、として素直に公表するだろうか。私としてはそんなことは100%ありえないと思う。きっとそのサービス提供者に対し、「彼らのセキュリティ対策が甘かったから、私たちはむしろ被害者です」と説明するだろう。

つまり、情報漏洩で最も困るのは、サービス提供者側なのである。

「あなたがセキュリティに対して心配している以上に、私たちはセキュリティに対して敏感になって対応しています。それはどこのWebサービスでも同じことです。それよりも他サービスに比べ、弊社サービスの方が貴社のビジネスをより成長できるという観点から導入を検討していただけないでしょうか。」と答えたいところなのである。