FFR Blog

FFRの奥天陽司でございます。

先日某新聞記事に宛てたコメントが様々な反響に繋がっているようで、インターネット上で繰り広げられている意見交換は、逐次チェックをし参考にさせていただいております。

今回の新聞記事により、Twitter含め多くの方の発言で、Windows 2000のサポートが終わっていたことを事後に知ったという方や、自分の会社のパソコンや、サーバーがWindows 2000で動いていることを気にしている方が目立っているように思います。

私も某社で仕事をしているとき、一つの重要な事柄を多くの方に知っていただくことの難しさを経験しました。大手のメディアに社告を打ってもリーチできたのは数％であったり、セキュリティアップデートの重要性を説明しても実際にアップデートの配信が進まなかったり、結果的に自動アップデートの導入で大きな反対を押し切り実施を行い、ようやく今の脆弱性対策の常識作りに成功した、そんな時代もありました。

製品のサポート切れの認知を高めることとは、同じような常識作りに対する挑戦に他ならず、今回の報道についても社会的な共通課題であることを、いかに皆さんと認識しあい次の一歩につなげるか、という部分が重要なのではないかと思います。

メーカーがサポートを打ち切ることは、製品のメンテナンスコストや時代にそぐわなくなった製品であることを明確にするために重要なことで、今回はWindows 2000が10年もの間メンテナンスを続けたことは、評価されるべきものではないかと思っています。メーカーがサポートを終了したことにより、ユーザーは全ての管理の責任を受け取ったということに等しいですし、責任を全うするために何をすべきかを理解することは、見たくは無いものに目を向けなければならない行為なのかもしれません。

で、今回、弊社の盟友でもあるサイバーディフェンス研究所さまと共同で、以下のセミナーを開催することになりました。
 
http://www.fourteenforty.jp/seminar/
タイトルは刺激的ですが、内容も刺激的です。

先日のメディア向け説明会でも指摘しましたが、Windows 2000とそれ以外のOSの脆弱性の共通性とか、Windows 2000の対脅威技術の弱さなど、赤裸々に語られるセミナーです。
懸念のある製品を使うということは、懸念をしっかりと理解することから次の一歩が始まると思いますし、ぜひ一歩を踏み出していただきたいと思っています。

福森さまが、F-Secure Blog に投稿されていますが、
http://blog.f-secure.jp/archives/50428042.html
YouTubeに投稿されたビデオも、激しく危機感をあおります。。。

こちらのセミナー8月10日に日経ホールで開催され、無料で参加いただけます。
お盆前でいろいろと忙しい時期ではございますが、参加をいただければと思います。

お久しぶりです、FFRの奥天陽司でございます。

ここのところ、Windows 2000のサポート終了に関わるモロモロの活動で、自分のいろいろなものが擦り切れそうです。

7月5日に、少し早めに Windows 2000 のサポート終了に関する啓発を兼ねて、メディアの皆様向けに説明会を開きました。今回は、ソフォス様も同様に、Windows 2000 を使用されているお客様からの要望に合わせ、サポート期間を2012年まで伸ばしたという共通項もあり、一緒にキャンペーンを始めることになりました。

このキャンペーンは、9月30日までFFRの脆弱性攻撃防御機能を20%オフ、同様にソフォス様のEndpointSecurityも20%オフということで、出費を抑えて、移行までの期間をできる限り安全に使ってもらうような取り組みとしております。

このキャンペーンは、Windows 2000 の延命というお題目にはなっていますが、IT業界のはしくれとして、サポート切れ製品を積極的に使うことを奨励したものではありません。最新のポルシェが最良のポルシェ、ではなく最新のIT製品がやっぱりセキュリティ的にも運用管理的にも優れているのは間違いが無いので、ぜひ移行をお願いしたいということで、それらを考えるきっかけにしていただきたいと思っています。

ただ、いろいろな理由で移行できない企業様もありますので、僅かばかりですが金額を下げ、移行期間のセキュリティを可能な限り高めていただきたいという思いで始めたキャンペーンなのです。

5日の発表以降、非常に多くの記事が作成され、新聞でも様々取り上げられる中、日本時間の14日に向けてさらに啓発活動は続くでしょう。

私たちとしても、製品を導入いただくことはありがたいことですが、こういう移行計画はITILのチェンジマネジメントでも指摘されているように、移行計画はしっかりと考えていただきたいと思っています。いろいろお騒がせをしておりますが、皆様が幸福なIT活用を続けていただけることを願っております。

なお、8月からはWindows関連の深刻な脆弱性が公表されましたら、弊社で影響度を調べましてWindows 2000に影響があるものについて、可能な限り情報公開をしようと考えております。
本来は有償サービスで提供していますので、内容はそこそこになると思いますが。。。

FFRのセールスマーケティング担当の奥天陽司でございます。

苦節数カ月ようやく『FFR yarai 脆弱性攻撃防御機能』の発売と相成りました！

製品の立案から開発、マーケティング、チャネル整備などいろいろとありましたが、これまでの3階層の多層防御では攻撃を防ぐことが難しくなっている現状に対して、4層目のエンドポイントセキュリティ対策を提案する製品となります。

多層防御（重深防御：Defense in Depth：a.k.a DiD）ですが、もともとネットワーク防御としてファイアウォール、マルウェア防御としてウイルス対策ソフト、脆弱性対策としてセキュリティ更新プログラム、という位置づけでしたが、それぞれが攻撃の進化（というか攻撃者のモチベーションの上昇：職業化といわれてます）に対応が難しくなってきているとFFRでは分析してます。

今回の製品は、脆弱性を悪用しバッファオーバーフローなどの攻撃が成功する間際に、コードの実行を停止するというものです。CPUが持つNX技術(DEP)の基本思想を元に、近年の攻撃に対抗するための強力なコード実行停止ロジックをソフトウェア的に実装したもので、データエリアからコードの実行が行われるタイプの攻撃はほぼ100%検知し、ウイルスに行動を乗っ取られるプロセスを停止、被害の拡散をストップします。

本来、このエンドストッパーが動かない、安定、安全な運用が理想なのですが、前述したように攻撃者は職業化してきていますので、お金が流れさえすれば悪事は絶えない、という悩ましい状況です。

さて、本製品の発売に際して、弊社製品の販売店様から暖かいエールをいただいており、それらはニュースリリースで紹介いただいております。

今回新たにサイバーソリューション様が販売代理店に参加いただく予定となっております。

また、今回は、OEMエディションの話を進めており、NEC Biglobe 様に本製品のコアテクノロジーを組み込んだ会員様向けセキュリティーサービスの提供をご検討頂いております。

そして、Security Operation Center向け製品。こちらは業界の雄である Infosec様、LAC様にご検討頂いております。

まだまだありますよ～。

NEC様より、FFR yaraiをエンドポイント検知エンジンとして使用する『セキュリティ可視化ソリューション』が発表されました。

FFRの技術がいろいろなところで使用いただけるようになるのは、本当にうれしいことです。

お客様に使用いただくことで、弊社として次の技術開発を進めることができます。そして、日本発で世界を唸らせる技術の実現ができたら、やっぱり安全大国の面目躍如ができるんじゃないか、なんて思ってますよ。

ということで、今日9日はINTEROPのNEC様ブースで『セキュリティ可視化ソリューション』の説明してます。もし会場にいらっしゃったかた、小太りなちょっと派手目な中年がいたら私ですので、話しかけてくださいね～

こんにちは、FFRマーケティング担当の奥天陽司でございます。

いよいよ6月9日にFFR yarai 脆弱性攻撃防御機能の発売日に向けて、準備をしているところでございます。準備といっても、販売網のメンテナンスとか、ソリューションセリングのためのシナリオ作りとか、そういうのがメインです。

発売日の6月9日は、INTEROPに参加しますよ～。例によってFFRはブースを出していないですが、パートナー様のブースに間借りです。詳細は後日～

それにしても、Windows 2000のサポート切れに対して、多くの企業様が様々な課題と懸念をもってシステム運用されていることが垣間見える昨今です。弊社への問い合わせも増えていて、サポート終了後にどのような状況になるのかが見えないので、皆様困っているようです。

お客様のほとんどは、今後1年～2年は運用しなければならないようで、その間のつなぎに投資するか否かで悩まれています。セキュリティ製品は問題が発生しないと効果を体感できないものが多く、ビルの免振機構のような位置づけです。過度に頼ったり期待すると、あとで拍子抜けをする可能性があるので、導入の選定にはしっかりとした目的設定が必要なように思います。

今回はセキュリティと啓発の話です。

セキュリティの仕事をしてて偶に思うのは、あの人はセキュリティを理解していない、とか、言っても分かってもらえないとか、そういう意見。

理解してない、わからない、の善悪は判断できませんし、それぞれの価値観、経験もあるので一概に言えませんが、事前の対策をするためにはセキュリティ確保の重要性を理解をすることは必要条件ということは間違いがないですよね。ここで疑問が。なぜセキュリティの重要性を理解できているひとと、できていない人がいるのでしょうか？

以前の会社で、みんながセキュリティを意識すると全てが変わる、なんて言ってましたが、意識をするなんて曖昧な表現だとモヤモヤします

たとえば物理的なセキュリティは、みなさん真剣に考えるわけです。家の鍵や会社の入り口のガードマン、その他リアルセキュリティに関しては対策しています。ものが盗まれたり壊されたりが目に見える物質世界では、対策の重要性は説明が要らない訳ですね。

物持ちが良い人と、悪い人の違いはどこから生まれるのでしょう？物質に対する認識の違いではないでしょうか。

人間って、子供が育つ過程で本とかぬいぐるみとか、そういうものに触れ、壊し、無くすといった経験を経て感覚として物のありがたさが分かってくるのでしょう。

では、数字、アイディアのようが情報概念として存在しているものは？重要性が分かっている人は、ノートに取ったりコピーをしたり、何らかの方法で保護をしようとします。しかし、生まれてこのかた物ではないモノが失われてしまうことを、誰が教えてくれたかというと、そういう機会はだれも与えてくれていません。

こんな状況で、情報を守ることは重要です！セキュリティは重要です！なんていっても理解されないのは当然です。

セキュリティの啓発をするには、まずは情報（概念）とは何なのか、そこから理解をしなければ。守る守らないは、情報を大切なものとして捉えて初めて議論できるお話ではないかと思ってます。情報そのものは、あることでは意味がない（美術品や工芸品のように、あるだけで意味がある情報なんて無い）わけで、活用してナンボ。利活用してこその情報ですから、セキュリティの話の前に保護する情報がどのようなメリットを与えてくれるものなのか、そこから理解しなければならないんですよね。

弊社製品の説明をするとき、その会社が知識や情報資産をどのように捉え扱っているのか、まずはそこを探るようにしている理由は、意識が無い方にセキュリティ確保が前提の話を押しつけても、きっとドン引きされると思っているから。

そういう人間の面白さに触れられるのも、ITの楽しさかなあ、なんて思ってます～

FFRの奥天陽司でございます。

本日で、EXPOも二日目が終わり、足が棒になっておりますが、とても充実した二日間でした

初日はお客様が来場されるか不安でいっぱいでしたが、開場するなり真っ先に訪問して頂いた方が何名もいらっしゃって、RC版の入手を希望されたのには、パートナーのAITの皆さんも、もちろん弊社のスタッフも大喜びでした！皆さんの熱意に本当に感謝です。

来場された皆様は、今までの対策にスパイスを効かせたいと思っている方が多いようで、弊社の製品に対して非常に興味を持っていただいたようです。エンドユーザー様もそうですが、新しい商材探しをしているSIerの皆さんも、ソリューションのくみ上げに熱心に意見して頂きました。。。ありがたいことです。

いくつか写真がありますので、紹介しますね！

こちら、今回のブースの模様です。
私の後姿も見えてますが、やわらカテゴリーの藤田明菜も見えてます。
会場ではお客様にモテモテでした。
赤い壁のブースって結構少ないので、目立ってよかったです。

弊社社長の鵜飼です。 NHKさんに取材していただきました。

常にブースは人人人な状況で、休みがとれないほど。。。
弊社の製品は、しっかり話し合わないと価値が分かりにくいので、
一人の対応で20分は話し込んでしまいます。。。
でも、おかげさまで大盛況なんです。

最後に、弊社製品を出展頂きましたAITの皆様に、感謝感謝でございます。

最終日はたくさんの人がいらっしゃると思いますので、最後まで気を引き締めて頑張ってまいります～！

FFRの奥天陽司でございます。
製品発表の興奮冷めやらぬなか、投稿の連投をしてしまいます～

さて、昨日発表した『FFR yarai 脆弱性攻撃防御機能』ですが、メディアの皆様に取り上げていただき、良い反響をいただいております！

http://internet.watch.impress.co.jp/docs/news/20100510_366077.html
http://enterprise.watch.impress.co.jp/docs/news/20100510_366082.html
http://www.atmarkit.co.jp/news/201005/10/yaraizdp.html
http://www.asahi.com/digital/bcnnews/BCN201005100010.html
http://www.security-next.com/012536.html
http://headlines.yahoo.co.jp/hl?a=20100510-00000000-zdn_ait-sci
http://news.livedoor.com/article/detail/4760746/
http://headlines.yahoo.co.jp/hl?a=20100511-00000004-vgb-secu
https://www.netsecurity.ne.jp/3_15315.html

本製品がこれまでの企業向けの弊社向け製品と異なる点として、今回は3つのEditionを投入することにあります。

• Corporate Edition
  企業ユーザーが各エンドポイントクライアント環境にセットアップし、稼働させる製品です。通常のウイルス対策製品と同様に、管理コンソールでの検出結果の確認や、アップデートなどを行うことが可能です。
• Security Operation Center Edition
  セキュリティ運用監視サービスを提供されている企業から、攻撃監視・防御用のセンサーとして監視対象の企業へ展開される製品です。各セキュリティ運用監視サービスに合わせて、攻撃検知時の通知方法をカスタマイズし、効率よく攻撃の状況をモニタリング（可視化）可能にするソリューションです。
• OEM Edition
  クライアント管理ソフトウェアや機器管理ユーティリティなどへの組み込む事でシステム全体を保護させることが可能です。また、自社ソフトウェア自身の脆弱性攻撃対策として利用する事も可能です。

特記したいのは、SoC Editionです。

これまで、セキュリティ監視サービスでは、IDSやProxy上のゲートウェイ型のソリューションを監視して異変を検知していましたが、今回の製品は、まんま End Point detection を実現することにあります。

各クライアントで発生している脆弱性攻撃を、適宜監視企業側で把握をして最短時間で対策に結び付けるためのトリガーを引く能力を提供します。

弊社では、今後セキュリティを進歩させるには、製品を単に導入するだけではなく、それを支援する運用監視業務が必要と考えています。今回の製品は、監視業務そのものの在り方まで変化させるインパクトがあるのではないか、と思っています。

また、OEM Edition については・・・次回にでも取り上げてみたいと思っています

さて、いよいよ情報セキュリティEXPOの開催が近づいてきました。今回のEXPOでは、弊社の頼もしいパートナー企業である株式会社AIT様が、yarai色に染めたブースで "FFR yarai 脆弱性攻撃防御機能" の発表を祝ってくれます。

株式会社AITブース
東京ビッグサイト 西展示棟 西2ホール 西4－56
http://www.reedexpo.co.jp/DDESI/jp/html/floor.phtml

今回は、できたてほやほやの本製品のRC版が入っているメディアを、先着300名に差し上げたいと思っています。

12日の初日は、朝10時～午後4時まで弊社の鵜飼もブースで皆様をお待ちしておりますので、要望、文句、技術談話などなんでも結構です。ぜひ AITブースへお立ち寄りください。

また奥天も3日間ブースにおりますし、やわらカテゴリー担当の藤田明菜も居ります。

皆様と意見交換などできるとうれしいので、ぜひお越しください！

皆様こんにちは、FFRの 奥天陽司 でございます。

Blogを読んでくれている方が結構いらっしゃいまして、この業界でも有名な方が読まれている声をかけていただいた時には、身が引き締まる思いです
（身が引き締まるつながりで言うと、前職退職時から、現在マイナス15キロ減量中～。久しぶりに会った方には、何か病気でもしたと思われたようで、そこには触れてこない方が多数 減量方法は、ブログネタなのでナイショ）

このブログ、FFR社内で読んでくれている人もいて、この間社内の親睦会で早く次を書けと追い込まれる始末。。。少しの間更新が止まっておりましたが、それには理由がございます。いえ、何のことは無い単に忙しいのです。

これまで、大手日本企業、大手外資系企業を経て日本のベンチャー企業で活動をしていますが、大手はどちらかというと自分のミッションを深掘りしてゆく仕事で、良く言うとスペシャリスト、悪くいうと仕事の範囲が限定的な印象です。

ベンチャーはやることが無限大。私が担当するマーケティング職も、マーケティング戦略立案、製品戦略立案、製品資料作成、メディア・広報、広告、販売戦略立案とありますし、営業力が必要なので営業としても動かなきゃならないし、提案活動と称してプリセールスエンジニアとしても動きます。今期からは製品のPMもすることになるので、一人やるべき仕事量は大手の何倍にもなります。

FFRは、セキュリティの専業企業として調査研究、製品開発、コンサルティングサービスを生業にしています。今も、Origma+ の機能拡張 (昨年10月の発売以来、2度目のバージョンアップが先日行われました） や FFR  yarai のようなセキュリティ関連製品の開発が急ピッチに進んでいて、まだ未発表のプロジェクトがいくつも控えています

FFR の製品は、セキュリティ技術者が本当に必要と考えている機能を備えた独自コンセプトの製品ばかりです。マーケットやデマンドドリブンではないため、理解され、受け入れてもらえるまでが大変な製品ばかりです。が、セキュリティの現状を考えると、どれも効果的に働く製品ばかりです。

以前某社で働いていたとき、新しいコンセプトや早すぎる技術の投入は、マーケットに受け入れられるまでに 2 年から 4 年ほど時間がかかることを学びました。セキュリティ更新プログラムの適用が本格的に受け入れられたのは、2001年に啓発活動をスタートして、自動更新などが実装されるまでの2年が必要でしたし、メディアプレイヤーなども同じ。もともとマーケットとして存在していたエリアへ後発参入する以外では、我慢の時期が続くことは必然です

弊社の FFR yarai も、昨年5月の発売以来、ようやく1年になろうとしています。パターンファイルを使用せず、ヒューリスティックやビヘイビアブロックだけでウイルスからの猛攻を防ぐというコンセプトは、当初は懐疑的だったとおもいますが、昨今の事情を考えると今後ウイルス対策製品は間違いなくこの方向に行くだろうことは理解できます。現状のソリューションの限界を理解（体感）出来るまでには、時間が必要なのかもしれません

楽しみでもあり、辛くもあり。

最後の"真鍋"、知ってる人にはウケがいい
いえ、以前某組織が使ったスローガンの一語で、IMEが選んでくれた変換候補ですので、気にせず～

今回は、日本人が間違いやすい（自分も間違えてた）言葉の定義の話。

言葉の定義といえば、過去様々用語論争がありまして、たとえば、コンピューターの最後の "ー" ですが、最近はこの伸ばすの付けるんだそうな。20年前からこの業界にいると、コンピュータ、が当たり前ですけど、これってメモリーの使用量を少しでも減らすための苦肉の策ということです。いやー大らかだとは思いませんかみなさん！

某社のスタイルガイドにも、3字以上のカタカナかつ語尾が”ー”の場合省略、みたいのがあって、パワーユーザーなら、パワーユーザ　だし、ユーザーだけなら省略しない、みたいな。最近コンピューターのパワーが上がったことに気がついて、改定の動きになったようです。

あと、脆弱性という言葉、今でも変わった言葉として認知されていますが、この言葉をセキュリティ情報のなかで使い始めた時点で、欠陥という言葉の印象を和らげるためのもの、みたいな認識を持たれていたみたい。使用者側からすると、セキュリティ上の脆さも、バグとか欠陥とか不具合って同じ位置づけの障害ではありますが、メーカー側からすると少しことなる位置づけだったりするわけで、この辺はなかなか判断が難しいですよね。

メディアの視点からは、読者に理解されない言葉は使えないわけで、一時期新聞に躍った欠陥という言葉も、最近では脆弱性（＝セキュリティ上の瑕疵不具合）として使われていますが、それも言葉に市民権が与えられた表れでしょうか。まあ、ニュアンスの違い程度ですけど、モノ作りの国としては欠陥といわれると過剰に構えてしまうわけで、そうなると欠陥と言われないよう隠ぺいしたくなるわけで、という状況が改善されつつあると思います。

前段が長いですね、ハイすみません。

言葉の定義って、目的と実態を結び付ける関連性を表す端的で重要な要素なわけで、これが誤っていると違う方向に行ってしまうわけですよね。私の日々の仕事の中でも、特にマーケティングの落とし穴として戦略と戦術の違いが混同するとおかしな方向に向かうなど、到達点が大きくずれてしまう一つの理由になっています。

で、これは前職で私の戦友（愛すべき○○氏お世話になりました）が教えてくれた事例です。

世の中、ポリシーとガイドラインの違いをはき違えているケースが目立ちます。ポリシーと言いながら例外が多い、ガイドラインと言いながら従属条項が多いなど。わかりやすく示した例が最近連続してテレビで流されているパイレーツオブカリビアンの一節に出てきます。
ヒロインが海賊につかまりひと悶着があるシーンで、ヒロインが海賊に Parlay(パーレイ)という合言葉をいうんですね。これを言うと、親玉と交渉する権利が生じるという掟。
で、海賊はその掟についてこんなようなやり取りがあります。

（男A）パーレイって知ってるか？
（男B）しってるぞ
（男A）パーレイってポリシーだったか、ガイドラインだったか？
（男B）たしかガイドラインだったはず
（男A）じゃあヤっちゃおう

つまり、ポリシーであれば守らねばならず、ガイドラインであれば必ずしも守らなくても大丈夫、そういうニュアンスで伝わってきます。

この二つの言葉をきちんと使い分けているかなあ～( ﾟдﾟ)ﾎﾟｶｰﾝ > 自分
と考えたものでした。

セキュリティポリシー、セキュリティガイドライン、この二つきっちり理解し使い分けてゆかないと、厳しすぎたりゆるすぎたり、指示を受けた側もそれぞれ認識がまちまちだったりすることになりそうですね。

という、みなさん「あたりまえじゃーん」ってネタで今週を乗り切る私です。

。。。そういえば、こういう常識をエンターテインメントから得ることがありますね～。小学生の時にドラえもんを読んでて彼岸のことを知ったり、周りにいろいろなヒントがあると思って注意すると、人生死ぬまで之学習、というのが腑に落ちますです。

奥天@人生折り返し点なう

FFRでマーケティングをしている奥天陽司でございます。

私がセキュリティの世界に入った10年前、セキュリティの重要性が叫ばれる中、口々に業界のみなさんが言っていたのは、セキュリティ更新を消費者に実施してもらう難しさ、ウイルス対策ソフトを購入してもらうハードルの高さ、セキュリティ特有の用語を理解させる困難さ、みたいな様々な課題が山積していて、正直僕たちどうなっちゃうのぉ～な感じだったわけです。

と言っても、まだマーケットの要請は厳しくは無く、ウイルス感染の被害が激増してゆくさなかでしたので、みなさんいつかはセキュアになるはず、日本ってポテンシャル高いし！と楽観していたのも事実です。時代はバブル後のしばらくたった後の成長期でしたし、正しいことを正しく行うことって当たり前に心に響いた時期だったんですよね。

さて、ウイルス対策や、セキュアなOSの選択、セキュリティアップデートも的確に実施ができるようになってきている中で、今業界の方は何を言っているのか。よりセキュアな製品に移行してもらえない、ウイルス対策ソフトを有償のものを使ってもらえない、最近のWeb感染型マルウェアに関して、技術的な問題点を理解してもらえない！みたいな、いつの時代も同じ課題が残っているのが世の常なんですよね。

で、以前のカオスと違う点はこれ、経済状況。
いえ、業界が儲かるとかそういうことを言いたいのではなく、生活全体に忍び寄るえも知れぬ不安が、セキュリティ業界にも影を落としているような気がします。
最近ある講演を聞いていて、以下のようなフレーズが出てきました。

「情報セキュリティ対策は、保険的な意味合いを持っています。みなさん事故に備えましょう！」

まさしくネットワーク型のウイルスが増加してきて、被害も増えてきてしまったあたりから、事故前提の体制とかインターネット保険、みたいな話は急激に増えました。
要するに、危険な状況なので自ら危険な状況を直視して第三者に担保してもらいましょう、ということで、その当時はみんなが保険！保険！の大合唱でした。
はい、その当時は、そうだったのです。

私、ある記事を見ていて、驚きました。
http://japan.cnet.com/marketing/story/0,3800080523,20393822,00.htm
20代の生命保険加入率、驚きの40％。保険に入らない理由は、特にないのだそう。
実際には経済的なものもありますし体も元気ということもあるでしょうが、それにしても特に理由が無いとは。
ちょっと面白いとおもい、そのほかのメディアで出ているマーケティングデータをみても、一律50%以下なのです。
30代以降は一気に加入割合は上がるので、要するに保険に対する認識がこの年代の違いで大きく変わっているということですよね。

さて、ここで先程の文章を読みなおしてみてください。

「情報セキュリティ対策は、保険的な意味合いを持っています。みなさん事故に備えましょう！」

正しい、まさにただしい、と思うのは私が40代だから？
つまり、ターゲットになっているセグメントに対して的確なメッセージではない可能性があるということ。
マーケティングやってると、どうしてもボリュームゾーンへのメッセージが強くなりますが、PCをアクティブに使いこなしているのはだれ？という部分も考えなければなりませんよね。
（とはいえ、20代より若年はPCではなく携帯がメインのデバイスですけどネ）

アメリカでは、あまりセキュリティ＝保険という感覚はなく、（映画シッコを見るとわかるように、そもそも保険に入っていないアメリカ人が多いわけです）彼ら曰く、セキュリティ＝ベースライン　つまり、基礎、と考えているように思います。
セキュリティ予算は、IT予算の15％程度が定常的に確保されているというのは、彼国らしいという気もしますが、まさしくメンテナンスも含めて彼らのベースラインなわけですよね。

この考え方を日本に持ち込むのは、困難ですし、そもそも必要もありません。
私たちに合う考え方を作りだし取り入れてゆく必要があって、それを下すのは我々自身、というものすごいドライブ感を感じるのが、今は面白い時代だな～と感じている私42歳のおっさんの意見です。

FFRの奥天陽司でございます。

昨日は前職の人、OBなんかと吞み会でした。FFR Blogのこと、みなさん注目してくれているみたいです、ありがとうございますっ！
Connect24さんなんて、Twitterで私の異動の話までネタにして。。。ありがとうございます、なんて言うかー！
小島センセも、まっちゃさんも、いろいろコメントありがとうございます～
道場、マジで新装開店してしまおうと、マーケティングプラン作成が山積みのなかブログに書いてみた。。。おや誰か来たようだ。。。

さてさて。

前に、某セキュリティ業界人（結構知られてる業界のブルドーザー）が話をしてたこと、いつも思い出します。

ヒヤリハットの法則。。。ただしくはハインリッヒの法則です。マーケティングでもよくつかわれる話です。300回ヒヤッとしたりハッとしたりするなかには29回の小さな事故があって、１回は大きな事故につながるという統計から導き出されたお話。

最初入った会社は大きな工場を持ってまして、始業前に危険予知(KY)訓練をしました。
チームが輪になって5分くらいかけて、工具箱があると躓いて転びます！ケーブルが乱雑だと足が引っ掛かり転びます！走ると物陰から出てきた台車とぶつかり・・・みたいな。

つまり、事前に仮想体験をさせてヒヤリハットを減らしてゆくという考え方なのかな～？
やってる最中は全然理解できなかったけど、今の仕事をしていてよくわかる訓練でした。

私、車が好きで自分の車でレーストラック（サーキット）に行くことが多かった（お金かかるのでやめちゃいました）のですが、自動車競技は車を壊す人もいるし、けがしてしまう人もいるわけですが、実はサーキット内で亡くなる方はとても少ないわけ（年間1名くらい？）です。安全な環境下で危険（スリルいっぱい）な行為をするって矛盾しますが、スリルを低リスクで体験できると考えると、ちょっとオモロいですよね。

サーキットで走ってて、慣れてくるとそれなりになってきて、欲を出したときにコースアウト！っていうのが流れですが、２９回のコースアウトには３００回のヒヤリハットが。。。これ、自分的には言い得て妙です。１回の事故。。。もっと多い気がしますケド
たぶん同じような趣味を持っている方もそう思っているのでは。だからこそ、メット被って、夏なのに長袖で、手袋臭いし、でも危険予知できているので我慢できると。

さて、我らが情報セキュリティ、この法則当てはまりますかね？

イライラしてもマウスをクリック連打しないこと！膀胱が張り裂けそうでもスクリーンロックすること！個人情報にアクセスするときには情報がデータファイルに保存できないよう以下同文！みたいなことを危険予知しても意味ないのかな～。

社内でセキュリティ意識が高まっていれば、当然当事者感覚も高まっているはず、なのでしょうか？

それは難しいと誰でも言いますよね。当然です。

それには理由があるはず、ということで次は陳腐な私なりの意見を書いてみます。
といっても6年前位に頻繁に講演で話をしていた考え方なので、聞いた方もいらっしゃると思いますケド