叡智の三猿

〜森羅万象を情報セキュリティで捉える

排出権取引とゼロトラスト

以前のブログでは2年ほどまえのレジ袋の有料化に伴いエコバッグをリサーチしたことを書きました。
www.three-wise-monkeys.com

レジ袋の有料化は2020年7月1日からですが、それより10年以上まえの2007年に、エコバッグがブームになったことをどれだけの方が覚えていますでしょうか!?

きっかけは有名ブランド「アニヤ・ハインドマーチ」がエコバックを販売したことです。テレビで発売初日に長蛇の列が出来ている様子が放映されました。

第一生命が毎年行っている「サラリーマン川柳」では、上位にー

エコバック、集まりすぎて、ムダバック

と皮肉られるほど、その当時、エコバッグが巷に溢れたのです。

本気でレジ袋をやめてエコバッグで地球環境を綺麗にしようと思うのであれば、ひとつのエコバッグを長く使う必要があるはずです。いろいろなデザインを施したエコバッグが巷にあふれ、日々のお買い物にエコバッグをとっかえひっかえ持参するライフスタイルは、エコとはいえません。地球環境問題を利用したビジネスです。

有限な地球の資源を大事に使うという大義名分は、お金になります。

その最たるビジネスが排出権取引です。

これは国若しくは企業間で行われます。地球温暖化対策のため、決められた温室効果ガスの排出量(数値目標)をクリアするという大義名分に対して、数値目標を達成できない国・企業は、数値目標よりも多く削減した国・企業の削減量を買い取ることができる仕組みです。買い取りをするこで、温室効果ガスを多く排出した国・企業も数値目標を達成したことになり、数値目標よりも多く削減した国・企業は、温室効果ガスでお金儲けができるのです。

排出権取引

2000年代のはじめ、排出権取引は大変注目されたビジネスモデルでした。あれから、10年以上が経過しましたが、あまり排出権取引の言葉を聞くことがなくなりました。どうも、日本での排出量取引制度はいまだ試用段階で、今後国として制度を運用していくかは正式に決定していないとのことです。

このビジネスモデルは胡散臭く思います。温室効果ガスを多く排出する国や企業は、それを削減するための技術開発をするよりも、他から削減量を買い取ることでOKになってしまう点です。中・長期的には温室効果ガスの削減が停滞し、地球温暖化の解消には結びつかないと思います。

地球環境問題と同様、情報セキュリティでも「顧客情報・機密情報を守る」という大義名分を利用したビジネスは多々あります。もちろん、組織が情報セキュリティ対策をするには、情報セキュリティ製品の購入や、コンサルティングなどの投資が必要です。しかし、それが行き過ぎるのは問題だと思います。

最近、ゼロトラストという言葉をよく見聞きします。ゼロトラストとは言葉通り「何も信頼しない」ということです。もともと、情報セキュリティ対策の基本は組織のネットワークの外側(インターネット)と内側(社内ネットワーク)、そしてDMZ(非武装地帯)とよばれる中間層を設けて、外部からの侵入を拒否することでした。

外部からの侵入を拒否

ゼロトラストはすべてを信頼しない前提に立ちます。外側からの侵入はもちろん、内部の通信もしっかり監視をしようという情報セキュリティ対策の考え方です。ゼロトラストが注目される背景は、情報セキュリティインシデントの多くは外部からの不正アクセスよりも、メールの誤送信など組織内部に起因した問題が多いという現実と、テレワークやクラウドサービスの普及によって、外側と内側の境界線が曖昧になっていることです。

ゼロトラストの考え方自体を否定するつもりはありません。情報セキュリティ対策は性悪説に立つのが正しいので、ゼロトラストは理にかなった考え方だと思います。が、しかしあまりゼロトラストの原理に突っ走ると、会社は情報セキュリティ対策に莫大なコストをかけなければなりません。情報セキュリティ対策自体は、会社の売上を増やしたり、利益を増やしたりするものではありません。コストに見合った収益を確保するのは大変なことだと思います。

ゼロトラストでは、社員の仕事はすべて監視されるのが前提です。それが組織の人間関係に相互不信を招く恐れがあります。息苦しい職場環境に嫌気がさした社員が大量に離職するかもしれません。人、物、金、情報は経営の4大資源と言われますが、そのなかでもっとも重要な人が失われます。そして、退職した人のあたまにある情報も外部に流出します。

情報セキュリティ対策で会社が倒産なんてことが起きたら、守るべき顧客情報・機密情報がどう拡散されるかも分からないので、本末転倒だと思います。