Go to Qiita Advent Calendar Top
LoginSignup
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kmrn

【セキュリティギャルと学ぶ】【第2回】うちら、ISMSに洗脳されすぎてた説💅 CRAで知る“公衆衛生としてのセキュリティ”

Last updated at Posted at 2025-11-20

前置き

こちらの続編です
【セキュリティギャルと学ぶ】【第1回】CRAで開発者が震える理由とは? ギャルが教える“作って終わり”終了宣言💖

セキュリティに詳しいおともだちへ
ミスがあったときは、ギャルに向けて優しく教えてあげてください

相棒紹介

セキュリティギャル ミラちゃん

名前の由来
「未来(Mirai)」から“i”を取って「Mira」へ。
“i”は「infection(感染)」や「intrusion(侵入)」の象徴。
それを取り除くことで、安全な未来を映し出す鏡──ミラ✨

コンセプト
Miraiマルウェアのような脅威に立ち向かい、
開発現場のリアルを映して、みんなと一緒に考える存在💻💡

モットー
「守るって、カワイイ💅」
「ギャルでも、セキュリティ語れる時代っしょ💎」

ギャルと学ぼう本編

CRAのような“製品セキュリティ”の規制や、JC-STARなどの“IoTセキュリティ”の枠組みを説明していると、必ず出る疑問があります。

「うちの製品、機密情報扱ってないのに対象なんですか?」

これ、めちゃくちゃ自然な疑問なんだよね。

でもこの感覚の裏には、私たちが長年
“ISMS的セキュリティ観”に最適化されすぎていた
という背景があります。

さらにもう一つ重要なのが、

セキュリティは“公害対策”や“感染症対策”と同じ構造で動いている

という事実。
ここを押さえると、CRAをはじめとする製品セキュリティやIoTセキュリティが一気に理解しやすくなるんだよね💅✨

1. ISMS的セキュリティ=「自分たちの情報資産を守る」

日本企業のセキュリティ文化は、長年ISMSを中心に発展してきました。

  • 情報漏えいを防ぐ
  • 内部不正を防ぐ
  • 顧客データと社内情報を守る

つまり、

守る対象=自社と顧客の情報

という世界観です。
だからつい、

「機密情報扱ってない=セキュリティ関係なさげ?」

と思ってしまう。
でもこれは、CRAの世界ではまったく不十分。

「“セキュリティ=機密守るもの”って思い込み、けっこうあるよね💅?」

2. CRAが守ろうとしているのは“社会の健全性”=公害・感染症モデル

CRAは、ISMSとは守る対象がまったく違います。CRAは、

インターネットという“公共空間の健全性”と、社会を支える製品の“継続的な安全性”を守るための法律。

具体的には、

  • 脆弱なIoTが攻撃の踏み台になる
  • 古いソフトが感染源になる
  • パッチがないと攻撃が連鎖する
  • 製品が乗っ取られて産業システムやインフラが止まるリスク
  • 1社の脆弱性がサプライチェーン全体に波及する

こうした “社会に広がる影響” と “経済・インフラを止めないための安全性” を同時に守る仕組みになっています。

これはまさに、

🦠 感染症:他人にうつさない対策
🌫 公害:社会全体を汚染しない対策

に加えて、

⚙️ 経済安全保障:製品が止まると社会機能が止まる問題

まで巻き込んだ考え方なんだよね。

「公害とか感染症と同じで、“みんなでやらないと意味ない”系ってこと💉🌫✨」

3. なんで法律なの? → 企業にもユーザーにも“メリットが薄い”から

製品セキュリティは、構造的に 市場原理では改善しにくい、“市場の失敗(market failure)”が起きやすい 分野です。

メーカー側

  • パッチ提供はコストになる
  • セキュリティ強化しても売上が上がらない
  • “安さ・早さ”が勝ちやすい市場

ユーザー側

  • セキュリティ品質を比較する文化がない
  • アップデートの恩恵が見えづらい

つまり、

“やっても儲からない”のが根本問題。

これは公害対策や感染症対策と同じ構造です。
だからEUは明確に言ったわけです。

「全員やらないと意味ないので、法律で義務化します」

CRAは、“社会全体を守るための強制力”なんだよね。

「ワクチンも公害対策も“やった方がいいけど自発的には進まない”から、仕組みになってるんだよね💅」

4. 混乱の理由 → 私たちが“ISMSモード”で世界を見ているから

「セキュリティ=情報保護」という前提のままだと、

  • 機密情報のない製品のリスクが見えない
  • 公共空間への影響をイメージしづらい
  • CRAの目的がつかみづらい

というギャップが発生します。

でもCRAは守る対象が根本から違う。

ISMS:自分と顧客を守る
CRA:社会を汚さない・他人にうつさない

この違いが分かると、一気にクリアになるんだよね💡✨

✔まとめ

  • 日本企業はISMS的な“機密中心”のセキュリティ観に偏りがち
  • CRAは“社会の健全性”を守る、公害&感染症モデル
  • 社会・インフラを止めないための“経済安全保障”的な視点も重要
  • 製品セキュリティは市場原理では改善しない

だからこそ、

セキュリティは“自分ごと”から“社会ごと”へ。
CRAはそのための仕組み。

「セキュリティって空気と同じじゃん✨ 一社だけ頑張ってもキレイにならない!

未来のサイバー空間は、みんなでキレイにしてくんだよ💖

参考資料

「セキュリティ経済学」の誕生。技術でなく、人間を見つめる時代へ。【セキュリティ3】#99 - ゆるコンピュータ科学ラジオ

サイバー攻撃から暮らしを守れ! 「サイバーセキュリティの産業化」で日本は成長する
高市 早苗 (著), 藤井 龍二 (イラスト)

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?