坂本さんの記事を拝見し、IBMのパブリック・クラウドのサービス責任者として奮闘していた昨年を思い出した。
日本ではスマートフォンのブームの影に、「セキュリティ対策としてのPC持ち出し禁止令あり」という話がある。
最近では、デスクトップ・クラウドについても、日本企業ではセキュリティ向上を訴求したアプローチがお客様にヒットするが、一方で欧米企業では、コスト削減を訴求するアプローチがメインである。その際には、PCのWindowsやMS-Officeライセンス費用削減、運用管理コスト削減がメインなので、Linux PCにしてubuntuを入れて、、というケースが結構多くなる。
最近のデジタル教科書論議などを見ていると、「タブレットPCを小中学校に配布する」というビジネス目的が先に見えてしまうような気がしないでもないが、欧米では、「環境問題も考慮して、中古PCをLinuxPCのクライアントにして、デスクトップクラウドでサーバー集中管理」という選択肢にお目にかかったりする。
特に欧州では、「国家安全保障の観点からも、全て米国製ソフトウェアに依存するのもいかがなものか？」という観点から、クライアント側はOSがSUSE Linux で、オフィスソフトはOpenOffice系というケースが見られる。
欧米企業（特に、米国企業）の発想は、「セキュリティ＝リスク管理＝確率論、ポートフォリオで管理するもの。そもそも100%完璧を尽くすことに意味があるとは思えない」とか自己責任の考え方が徹底している。外部からの攻撃よりも内部犯行だけに重点をおいた対策を採るとか、メリハリが効いているように思われる。
一方、日本企業（特に大企業）の場合は、会社が社員を守るために「可能な限りの対策を採る」という考え方に出会う機会が多いような気がする。

これが、米国企業的発想だと、「そもそもコスト削減のためにクラウドを選んだのだから、その時点で、無駄なカスタマイズ投資を避けるのが当然。そこまでセキュリティを気にするならば、パブリック・クラウドなんかやめておけば？」という話になる。日本側にいる多くのプロダクト・マーケティング担当者としては、ここでお客様との間で板ばさみになり、何とか本国に追加仕様を認めてもらおうと説得工作に奔走することとなる。
セキュリティとかインテグリティといえば、SOX法の導入に関しても、「米国では最初にやり過ぎたためにゆれ戻しが起こった」と言われているようだ。結局、「わが社はこのレベルまでこういうやり方でやります」と自己宣言した上で、「その通り実行できているかどうかを監査する」という考え方になってきているようだ。そして、各企業が自己宣言したレベルが、自分に厳しいか甘いかは、それを見聞きした投資家側の判断。

モバイルに見るセキュリティへの考え方が、日米で異なるという話：こんなところにも、グローバリゼーション2.0：オルタナティブ・ブログ