Bruce Schneier氏のエッセイから。彼がよく話すネタのひとつ。

How to Sell Security - Schneier on Security
（最後の部分のみ引用）

Though effective, fear mongering is not very ethical. The better solution is not to sell security directly, but to include it as part of a more general product or service. Your car comes with safety and security features built in; they're not sold separately. Same with your house. And it should be the same with computers and networks. Vendors need to build security into the products and services that customers actually want. CIOs should include security as an integral part of everything they budget for. Security shouldn't be a separate policy for employees to follow but part of overall IT policy.

Security is inherently about avoiding a negative, so you can never ignore the cognitive bias embedded so deeply in the human brain. But if you understand it, you have a better chance of overcoming it.

カーネマンとトヴェルスキーらによるプロスペクト理論を紹介しつつ、認知バイアスによるセキュリティ市場への影響について述べている。人は起こるかどうかわからないリスク（例えばハッカーに攻撃されて情報が漏洩する）について考える際、仮にそれが起こった場合の損失が大きいとしても、そのためにセキュリティ製品を導入する（コストが発生する）ことをいやがる傾向がある。確実な損失はなるべく避けようとするのである。そしてこの場合には結果的にリスク追求的になる。

このバイアスを乗り越えるために「恐怖感を煽る」という方法がある。これは確かに効果はあるが問題も多い。よりよい方法はセキュリティだけを単独で直接売り込むのではなく、顧客が欲しがる製品やサービスに組み込んで売ることである。自動車の例を考えてみればよい。セーフティやセキュリティは自動車に組み込まれて一体になっている。それだけを別にして売ることはない。セキュリティ製品やサービスも同じ戦略をとればよい。

ざっと要約するとこんな感じだろうか。「セキュリティは直接売るな！こっそり売れ」ということで。違うか。