セキュリティの新しい風 ～Birds of a feather～
第一回　セキュリティ文化の確立を！佐賀県学校教育ネットワークセキュリティ調査で見えてきたもの

セキュリティ文化の確立を目指して

大きな情報セキュリティ事件の調査報告書の内容や今回の調査で感じるのは、「セキュリティ文化」の欠落である。最近は少なくなったが、そでも、セキュリティは日本の企業のなじまない、社員が悪いことをするという前提のセキュリティ機器やポリシーは不要だという考えがある。即ち、セキュリティは「性悪説」を前提にしている、との考えである。「当社は、性善説で管理を行ってきた」と記者会見で言い訳をする社長やＣＥＯを事件・事故の記者会見で見たりするが、「どの様な管理をしていたのか？」、「適切な管理を行っていて、事件・事故が発生したのか？」と聞いてみたい。多分、直接の担当者以外は、殆ど関心がなかったのではないか。

筆者は、セキュリティを「塀の中に落ちない仕組み」と考えている。例えば、「出来心」で、目の前にある情報資産を盗取しようと考えても、簡単には盗取できない環境が構築されており、自分のＩＤを利用すれば、直ちに分かってしまう。しかし、複数の社員等が１つのＩＤを使っており、事件が発覚しても、誰が犯人かが分からなければどうだろうか？　実際、20人ほどの社員が同一ＩＤを使っており、事件発覚時に犯人の特定ができなかった。もし、各人にＩＤが割り当てられていれば、簡単に犯人が分かる可能性があり、それを知っている者が積極的に情報盗取をしようと考えないであろう。犯罪を行い易い環境を作ることに問題があるという、「環境犯罪学」（前述：注４）の考えであり、犯罪者を作らない仕組みが、セキュリティ対策である。

最初から犯罪に手を染める人間もいるとの指摘もあるが、現実の世界、「空き巣の侵入手段」では、無施錠が40%程度を占めており、施錠するだけでもかなりの空き巣を防ぐことができることがわかる。
以下は、セキュリティ文化を確立するために、どの様なことを考え、実行すべきかである。勿論、個々の企業や組織により、同じである必要はないが、これらを基に「セキュリティ文化の確立」を考えることが、セキュリティ対策だと考えている。

セキュリティ文化の確立のための10ヵ条

1. セキュリティ文化の確立は、その組織に関係する全ての人によって始めて確立が可能になる。正規社員だけでなく、非正規社員も参加が大切になる。
2. セキュリティでも完璧はない。セキュリティ機器や厳格なポリシーを作成しても、機器の管理・運用もポリシーを順守するのも人だからである。　機器は故障し、それを扱う人間もミスをするからである。
3. ヒューマンエラーの多くは組織体制の問題があると考える必要がある。 教育・訓練の欠如や業務の集中がヒューマンエラーを誘発することが多いためである。
4. 新しい課題は、全ての関係者が情報を共有し、現場だけの判断にならないようにし、委託事業者にも徹底する。
5. 基礎的な教育・訓練だけでなく、セキュリティポリシーでは上下できない、キュリティの常識も含めること。
6. セキュリティ関係者は、セキュリティ事案が外部だけでなく、内部、外部と内部の結託もあり、集団行動が思わぬ方向に進むことなど、心理学、行動科学、犯罪学などの基礎的な知識も修得する。例えば、認証、暗号化、無線LAN、ログ管理などの知識は必須である。
7. セキュリティ確保に必要な手順から外れることがあれば、組織の上下に関係なく、指摘できる環境を構築する。「誤りは人の常」であり、上司も誤りを犯すことがあると、上司も部下も持つこと。
8. 他社、他人が起こしたセキュリティ事案をセキュリティ関係者等で議論をする時間を作ろう。セキュリティ事件・事故でも、「歴史は繰り返す」事が多く、知識を持っていることが、事案を矮小化することを防ぐ。
9. セキュリティ関係者の異動が、数年程度の場合、１年単位で業務の確認ができる仕組みや手順書／ポリシー等の更新の仕組みを確立する。
10. 小さな事案でも必ず報告し、公開（内部のみ、外部へも）する仕組みを構築し、何故、その事案が発生したかを分析・調査する体制を構築する。