年金機構の事件が呼んだ波紋と、企業で起こった大合唱への違和感 | 東京IT新聞

年金機構の事件が呼んだ波紋と、企業で起こった大合唱への違和感

コンシューマー セキュリティ

日本年金機構の情報流出事件が起こった結果、国内の行政機関や民間企業の経営層や管理者層から現場に「うちは大丈夫なのか?」といった大号令が出ています。これを踏まえ、現場側は現状報告や対策強化を迫られています。現場で実際にコンサルティング活動を行っている筆者は、号令に対するアプローチに“違和感”を感じるといいます。今回(第33回)はこの違和感の背景を解説していきます。

現状分析よりも対処策が先になってしまう

 経営層から現場へ指示が出ると、現場担当者は知り合いのセキュリティベンダに相談するか、インターネットなどを駆使して情報収集を行い、現状分析よりも、まずは対処策を検討しがちです。  なぜそうなるのでしょうか。これは「何かしなければならない」という強迫観念に迫られるからです。結果、現状分析ではなく、対処策を優先するといった思考になってしまうのです。  このように言うと、「もし情報漏洩事案が発生したら、そんな悠長なことは言ってられない!」との声が聞こえてきそうです。  こうした事態に対応することを「インシデントレスポンス」と呼びますが、ここで最も重要なことは、“事案によって発生しうる事業継続への影響調査”であり、少々乱暴に表現すれば「現状分析」です。正確な分析がない状況で、適切な対処策を実施することは不可能と断言できます。

病気の実態がわからないのに間違った薬を飲む

 典型的なケースを紹介しましょう。  情報漏洩事件が発生すると、現状分析をしっかり行わずに、端末群の「デジタルフォレンジック(原因究明のデータ収集・分析)」をだけを数台実施する、というケースを見聞きします。  運良く分析した端末に脅威が見つかれば良いのですが、もしなければ「脅威はない」と裏付けされ、本当の脅威は永遠に見つけることができません。  たとえば、健康診断で体重や身長の測定などは行ったものの、レントゲンや胃カメラでの検査はせずに悪性の腫瘍(しゅよう)を見落としてしまう、といったことと同じです。  かねて本連載でも執筆している通り、病気の実態(セキュリティ事案)が特定されない状況で、本当は風邪をひいているのに腹痛の薬を飲んだり、実は肺の病気なのに心臓の手術をしているようなもの。もっとも重要な病気である“セキュリティ事案”が特定されていないのに、薬屋さんで間違った薬を買って飲んでいることと同じ状況なのです。  間違って飲んだ薬が何かの役に立てば良いのですが、飲んだことだけで満足してしまうことすらあります。そもそも薬の目的が違うのですから、本来持っている効能を発揮するわけがありません。

“共有言語”で皆が理解できる数年先の計画を

 さまざま方と現場で話していますと、ネットでかじったような情報を元に、上司から「CISRT(シーサート=インシデントの対応組織)構築を検討せよ」とか「〇〇ツールの購入検討を」など、次々と“宿題”が落ちてきているようです。  ただ、これらはすべて述語で、主語がないことが散見されます。何のためのCSIRTなのか、何のための〇〇ツール導入なのか――。  局所的な知見を元にこうした対策を継ぎ接ぎで実施すると、対策したことに満足してしまい、本当に重要な事案を見落とすといった恐ろしいことが発生しかねません。  事実、私が対応したケースもこういったケースはよくあります。重要なのは経営層や上層部、現場が“共有言語”として理解できる3年先、5年先を見据えたリスクシナリオやグランドデザインを策定することです。

「かかりつけの医者がいない」という事態を避ける

 メディアでサイバー攻撃や情報流失事件が報道されると、とたんに右往左往してしまうのは、実は現状分析はもとより、中長期的なセキュリティ戦略が関係者で合意されていなことを裏付けているのです。  報道によって過敏な反応はするものの熱しやすい、というケースもよく耳にしますが、これはこれまでに述べたような戦略や合意形成がなされていない裏付けともいえます。  今後、全社員の「マイナンバー」が配布されるなど、企業は守らなければならない情報がまずます増加します。日々発生するサイバー事件報道に右往左往しないためには、“各論”ではなく“総論”としてあらためてセキュリティ対策を検討いただきたいと強く願っています。  ただ、日本ではそういった相談に親身に乗ってくれる専門家のリソースが枯渇しており深刻な状態です。いざという際に「かかりつけの医者がいない」という事態に陥らないよう、今すぐ検討すべき事項ではないでしょうか。
《楢原 盛史》

特集

コンシューマー アクセスランキング

  1. 話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

    話題の「ユーチューバー」は本当に儲かる? その実態と現実を先駆者に聞く

  2. <IT坊主の説話>実は「経営」や「経済」は仏教から生まれた用語だった

    <IT坊主の説話>実は「経営」や「経済」は仏教から生まれた用語だった

  3. 実はすごい「ホームドア」 鉄道の自動運転化には欠かせぬ存在だった

    実はすごい「ホームドア」 鉄道の自動運転化には欠かせぬ存在だった

  4. 子供に超人気!5歳のユーチューバー“がっちゃん”はどうやって生まれたか

  5. <IT坊主の説話>洗脳か納得か「身口意(しんくい)」の意味を知る重要性

アクセスランキングをもっと見る

page top