リスクマネジメントの専門知識・事例を学ぶ

プロローグ
第一回～第三回の当コラムで、情報セキュリティの考え方について述べてきた。情報セキュリティというよりも、どちらかというと組織のオペレーション論に落ちていった形だが、違和感を持たれた読者の方もいらっしゃると思う。

しかし実質的には、情報セキュリティをテクノロジー論と捉え、IT部門の主戦場として精度をいくら高めても、効果は限定的であり、自社全体で情報セキュリティを高めるには、まずそれを担保する組織のオペレーションが鍵となることをご理解いただければ幸甚である。

ヤフーBBの情報漏洩事件はテクノロジーの問題か？否、派遣業者による顧客データへの容易なアクセスを許したオペレーションの問題である。

PCの盗難による情報漏洩事件はテクノロジーの問題か？否、漏洩に値する（盗む・売る価値がある）データを安易にモバイルPCに蓄積し、そのPCを盗難という低レベルな不注意に晒すオペレーションの問題である。このオペレーションの問題を置き去りに（優先度を上げず）、クライアント暗号化やディスクレスPCなどに走るのはいかがなものであろう。

つまり、情報セキュリティの捉え方として、＝テクノロジーという既存のフレームに当てはめて思考することこそが問題なのである。

本稿では、最終稿ということで、セキュリティ対策のネガティブ事例を紹介する。以下二つの事例はいずれも、情報セキュリティに関する各種既存フレームの呪縛に囚われてしまった例である。反面教師としてご覧いただきたい。

ここ最近はすっかり沈静化したが、今年4月の法令施行前後のタイミングでは、駆け込みで対策マニュアルを整備したり、ツールを導入したりという企業が相次ぎ、ベンダーによるセミナー、対策本などが氾濫した。あの時の盛況はどこへやら、今やあまりの沈静化にまたぞろ業界恒例の“流感”と感じざるをえない。

事例のA社は、個人情報保護法対策において、かなり突っ込んだ対応を取っている。個人情報保護法対策プロジェクトを2004年に立ち上げ、専門家を招聘してプロジェクトリーダーに据え、半年をかけて対策マニュアルを策定した。そしてそのマニュアルに関する、全社員参加必須の説明会を数回開催して浸透策をとっている。この結果、個人情報保護法については、比較的高いレベルで認知した社員群が構成された。

端的に見れば素晴らしい事例である。

しかし、ここで考えていただきたい。

個人情報保護法は情報セキュリティ対策の１オプションに過ぎない。オプションであるから、あくまで情報セキュリティ全体を見据えた上で、個人情報保護法対策オプションのポジションを明確にし、ポジションに従った優先順位づけによって対策がとられる必要がある。

だが、A社の情報セキュリティ全体を見てみると、流感によって個人情報保護法対策はほぼ完璧になされているものの、その他エリアは決して満足のいくものではなかった。

まず、情報セキュリティを担保するためのリソースパワーが企業規模に比してあまりに小さい。A社においては（広く一般的にも言えることだが）情報セキュリティは基本的に情報システム部の１ミッションと捉えられていたが、情報システム部自身、経費削減の目的で縮小を続け、現在では部長を筆頭に正社員は僅かに4名しかおらず、大部分を派遣要員に依存するに至っている。

この陣容では、大企業にカテゴライズされるA社において、情報システム部のメジャーミッションである開発・運用に組織リソースの大半を割かれ、情報セキュリティというタスクは副次的なポジションに落とさざるをえない。
ゆえに、基本的にネガティブタスクであり、高いインセンティブとモチベーションが求められる情報セキュリティを推進するという体制が存在しえないといえる。

A社における情報セキュリティは、組織というより、あくまで情報システム部スタッフの個人的な努力目標によって賄われているという表現に近い。

優秀なリーダーによって情報セキュリティへの認識が何とか担保されてきたといえる。

この組織上の課題の結果、具体的な情報セキュリティ対策は開発・運用の利便性追求によって押し込められ、あるルートによって容易に社内の機密データに不正アクセスを許容してしまうという重大な脆弱性を内包してしまっていた。

現在は対策が施され、この穴は潰されているものの、組織リソースの課題はそのままであり、同じような問題が経年で熟成されていく土壌は解決されていない。

このような現状の中、先ほどの個人情報保護法対策プロジェクトの話を思い起こして欲しい。情報セキュリティ全体を統括すべき情報システム部の慢性的なリソース不足に対し、情報セキュリティ対策オプションの１つに過ぎない個人情報保護法対策にわざわざ相応規模のプロジェクトを立ち上げ、要員を割き、専門のプロジェクトリーダーを招聘するという展開には明らかな矛盾がある。

あえて極論すれば、楽天の大規模な個人情報漏洩など、今年だけでも数多発生した個人情報関連事件が、明確な解決も見えないまま、いつの間にか表立ったメディア報道から姿を消している現在、喧伝するほどのレピュテーションリスクは個人情報保護には存在しないのではないか。

さらに、仮に法令違反を起こしたとしても、あくまで善管注意義務の喚起を主目的とした罰金などの罰則規定の規模は、一般企業に致命的なインパクトを与えるものではなく、リーガルリスクも僅少なのではないか。
これらを全て勘案すれば、個人情報保護法対策は、決して情報セキュリティの全体論を無視してまで優先的に対処すべき課題ではないと考えられる。

つまり、A社の緻密な個人情報保護法対策は、流行のフレームに囚われて過大な動きに走ってしまったといえる。A社ではリソース上の矛盾であったが、このような矛盾の事例はテクノロジーエリアでも多い。

例えば、自社に機密情報に対する不正アクセスのリスクがどのようなルートにどのように存在するかの解析はおざなりに、ある企業ではそれを外部アクセスに固執し、二重三重のファイアウォールにICカードによる厳格なゲート認証、さらには指紋認証まで取り入れて莫大な投資をかける。またある企業では、内部アクセスに固執し、全クライアントPCに暗号化システムを導入してファイルアクセスを冗長化させ、本来的な業務に支障を来たす。

株式バブルに湧き、好況感が出てきてはいるが、ローコストなアジア企業に猛追される現在の日本企業に、セキュリティの大義名分による無作為なコストアップが許容されるとは信じがたい。

これらはいずれも、テクノロジーや個人情報保護といったフレームに囚われ、情報セキュリティ全体を俯瞰した上での対策の優先順位づけが論理的に行われていない風潮の証左である。解決策は、第三回までで述べたように、フレームに囚われず、経営戦略からのトップダウンで対策を立案することである。

特にIT業界では、認証フレームやベストプラクティス・スタンダードといったものに囚われる傾向が強く散見される。
つまり、自社自身の対策を、自社を見ることではなく、外を見ることで立案しようとしてしまうという傾向である。
セキュリティ対策で言えば、ISMSがそれに当たる。

ISMSによって提示されている対策スキームをスタンダードとして網羅的に実装すれば、情報セキュリティ対策は完了すると考えてしまうのである。

まず前提として、網羅的な対策ほど、企業において無駄な投資を招く根源であることを理解して欲しい。
シャープは液晶に事業（対策）をフォーカスすることによって、確固たるポジションを確立し、中国への工場移転が定常化する日本の製造業において、国内天理に大規模な工場を新設し、国内雇用と高品質を担保する偉業を達成している。

事業対象を絞り込んだからこそ、大規模な投資を集中し、効果をあげることができるのである。

もし液晶もプラズマも、白物も黒物も全部強化するなどと言っていたら、今のシャープは存在し得ない。

トヨタ自動車を意識しすぎる余り、車種もチャネルも網羅的に揃えることで窮地に陥った日産自動車は、保持する喜びをユーザーに与えるデザインを軸に、車種もチャネルも整理することでV字回復を成し遂げた。

企業経営においての成功は、網羅ではなく集中によって成し遂げられるのである。

念のため誤解を拝すが、集中とは、網羅俯瞰的な視点から判断し、論理的な優先順位づけによって注力するという意味である。決して偏重ではない。

話を元に戻すが、ISMS認証を導入する企業の大半は、上記、企業としての基本（もちろん、ITもセキュリティも同じ）を忘れ、広く浅くに流れてしまうことが多い。

但しこれには同情もある。認証取得を目的化した瞬間、認証を取得するには広く浅くにならざるを得ないからである。

いずれにしても、折角認証を取得したのだから忠実に守ろうというスタンスに立つと、自社の現状（情報セキュリティリスクのポジショニングと対策の優先順位）から乖離し、逆効果となる。

事例のB社は、まさにこのような状況にあった。

さらにB社では始末の悪いことに、ISO9000とISMSのダブル認証を取っており、相互矛盾と広く浅いコンセプトに囚われ、情報セキュリティが停滞していた。コンセプトと現実の狭間で身動きが取れなくなってしまったのである。

情報セキュリティの実装組織とラインとの間で利害が反発することはままあるが、B社では、情報セキュリティの実装組織の内部、つまり、認証取得の主管組織と、情報セキュリティインフラの主管組織の利害が論理矛盾から反発してしまっていた。これでは、とても効果的な情報セキュリティ対策に集中することなどできない。

ゆえに、本来自社に存在する情報セキュリティリスクを低減・軽減・回避することが目的のはずが、彼らは自社のセキュリティリスクすら明示的に把握することできず、当然、論理的な対策立案ができようはずもない。

加えて彼らは、情報子会社として設立された経緯から、御用聞き体質を根強く持っていた。

そして、ITサービスを提供する主体として、彼らは本来、自身から顧客に対して情報セキュリティ運用のコンセプトを提示し、顧客をコントロールすべき立場にあるが、まったくそれができず顧客の言いなりで統一性のないセキュリティシステムを抱えるに至っている。

自社のスタンスが破綻し、顧客の言いなりで拡散した彼らの情報セキュリティは、まったくと言っていいほどリスクマネジメントの体をなしていない。

その要因は様々だが、ISMSという認証フレームに囚われてしまったことが、自身の論理矛盾に拍車をかけてしまったことは紛れもない事実である。

この解決策は、まず、ISMSというプロモーション手段のポジションを明確にすることである。
現実的には、割り切りが必要であろう。ISMS認証は例えば官公庁への入札要件に対応するための手段であり、実質的な情報セキュリティ対策のコンセプトではないということである。

その上で、自社の情報セキュリティコンセプトを明確にし、自社の視点に立ったセキュリティリスクマネジメントの仕組みを実装することとなる。

以上、4回に渡り、小生のコラムをご拝読いただき、まことにありがとうございます。

コンサルタントとして、情報セキュリティの現場に触れるにつけ、これまで述べたような現象に必ずといっていいほど遭遇し、対策云々よりもまず、クライアントのパラダイムシフトに腐心することになります。

購読者の皆様には、情報セキュリティのベースコンセプトとして、何かしらのお役に立てれば幸いです。