eコマースの起業家にデジタルコマースの世界に参入した理由を尋ねると、さまざまな答えが返ってくるだろう。
「グローバル・ブランドを構築するため?」
もちろん、そうだ。
「新しい市場に参入するため?」
当然だ。
「一攫千金を狙ってリタイアするため?」
その通り!
しかし、「サイバーセキュリティの心配に時間を費やすためにオンライン販売を始めた」と答える人はいないだろう。eコマースの世界では、サイバーセキュリティは手に負えない相手である法規制の遵守とともに、せいぜい必要悪としか見なされていない。もちろん、企業には強力なデジタル・セキュリティとデータ・プライバシーのインフラが必要だが、だからといって、これらの問題の詳細に貴重な時間を費やしたくはないだろう。
それを変える必要がある。eコマースのポッドキャストであるB2B Commerce Uncutが最近配信したエピソードにおいて、アメリカ国家安全保障局(NSA)元職員のJeff Man氏と、ベテランのホワイトハット・セキュリティのプロであるJoseph Kirkpatrick氏という情報セキュリティ業界の第一人者である二人が、今日の変化の激しい世界では、セキュリティは企業が見過ごしたり、無視したり、単に外注できるものではないことを明確に指摘した。今こそ起業家が立ち上がり、自社のセキュリティにオーナーシップを持つべき時なのである。
セキュリティ vs. コンプライアンス
多くの起業家は、規制上の義務を十分に果たしていれば、自分自身や顧客のデータをセキュリティ上の脅威から守ることも十分にできていると考えている。しかし、目標は、規制上の義務を果たして終わりではなく、汗をかかずに規制上の義務を果たし、それを上回ることができるようセキュリティ機能に十分な注意を払うことである。
セキュリティ上の問題を効果的に検出し、最小限に抑えることができれば、すなわち、規制上の義務を果たすことは容易であるはずだ。問題は、望遠鏡の反対側を覗き込んで、規制遵守を中核的な目標として扱ったときから始まる。「私にとって、コンプライアンスはセキュリティの一部でしかない。コンプライアンスとは、セキュリティの反映でしかなく、同じようなものなのだ」とMan氏は説明した。「コンプライアンスとは、どの程度うまくいっているかを評価するための、単なる物差しだ」。
規制は常に後手に回るものであるため、この点は特に覚えておく必要がある。アウトバーン(ドイツ、オーストリア、スイスの自動車高速道路)でのガス欠を禁止する法律があるとすれば、それは、ある不運な人がガソリンを入れ忘れ、渋滞を引き起こしたことが原因だ。これと同じように、規制は過去の誤りや不手際を反映するものであり、将来のサイバーセキュリティの課題から保護することはできない。
サイバー犯罪者の動きが速く、十分なリソースを持つ現代社会では、企業は事後対応型ではなく、事前対応型であることが必要だ。そのためには、役人が決めたルールを守るだけでなく、常に時代の最先端を行く姿勢が必要だ。「それは、未知のもの、つまり想定していなかったものである」とKirkpatrick氏は説明した。
アウトソーシングの限界
eコマースの起業家の多くは、サイバーセキュリティの重要性を認識しながらも、運用上のニーズはサードパーティプロバイダにほぼアウトソーシングできると考えている。これは、SaaSツールやパブリッククラウドソリューションの新時代において特に顕著な傾向だ。例えば、AmazonやGoogleのクラウドインフラに支えられたサービスの提供を受けている場合、セキュリティのニーズはカバーされていると考えるかもしれない。
しかし、それは一部でしかない。中核となるセキュリティ機能をアウトソーシングする場合、実際に提供される機能に細心の注意を払うことが重要だ。多くの場合、大手クラウドプロバイダーは、最高のセキュリティ機能をフルレンジで提供しているが、それらはオプションのアドオンとして扱われ、ボタンをクリックしてそれらをオンにするのはユーザー次第である。
必然的に、それは必要なサービスに対してお金を払うことを意味し、信頼できるサイバーセキュリティは安価なものではない。繰り返しになるが、注意を払い、デューデリジェンス(企業などに要求される当然に実施すべき注意義務および努力)を行う必要性から逃れることはできない。「セキュリティにはコストがかかる」とMan氏は言う。「いくら使いたいのか、どこに使うのが適切なのか、どこに投資するのが適切かを把握する必要がある」。
クラウドプロバイダー以外にも、企業はしばしばコンサルタントや外部のパートナーにセキュリティの管理を依頼しているが、これは自社のサイバーセキュリティの責任を誰かに転嫁したいという気持ちの表れだろう。もちろん、サードパーティと連携する場合は、支払った金額に見合ったものを得ることになり、高品質なセキュリティ・プロバイダーであっても、特に要求のあったサービスしか提供しない。
サードパーティのセキュリティ・プロバイダーと契約したことで万全の体制を整えたと思いきや、新しい提携先とのコミュニケーションやチェックができていないことがよくある。その結果、手遅れになってから重要な機能がオンになっていなかったり、特定のデータセットや業務の一部が対象外になっていたりすることが判明するということになりかねない。
しかし、企業やデータの安全を確保するための最終的な責任は、簡単に委ねられるものではない。したがって、サードパーティであるパートナー企業が提供しているサービスについて十分に把握し、データの安全性確保に関して彼らが実際に約束を守っているかどうか、フォローアップを行う必要がある。
取り組みを止めない
では、今日のeコマースリーダーに必要なことは何か。
要するに、サイバーセキュリティをビジネスにとって重要な能力として捉え始める時期が来ているということだ。セキュリティを誤ると、ブランド構築や新規市場開拓に費やした時間、エネルギー、リソースをすべて危険にさらすことになるのだ。
つまり、セキュリティをコンプライアンスの問題や単なるチェックボックスとして扱わないということだ。それはまた、自社のセキュリティ対策を監督し、サードパーティ・プロバイダーとの約束が守られているか、必要な予防措置がとられているかをフォローする責任を負うことでもある。
最後に、セキュリティは一度構築したらずっとそのままでいいというものではないことを理解することだ。むしろ、セキュリティは継続的なプロセスであると考えた方が賢明だ。eコマースブランドは、自社のデータ、運用能力、そして顧客を守るために常に警戒を怠らない必要がある。
「ビジネスの成功にとって重要なことに責任を負わないということはありえない」とKirkpatrick氏は述べている。「常に警戒し、追求し続けなければならない」と同氏は続けた。
※当記事は米国メディア「E-Commerce Times」の8/26公開の記事を翻訳・補足したものです。