幼稚園や小学校といった子どもの時期からルールに従って行動するよう教えられている日本人は、他の国と比べて秩序を重視する国民として海外から高い評価を受けていますが、他方でルール自体にどれだけ意味があるのか、実際に効果が生み出されているのかに疑問を持ったり、定期的に検証したりすることはおろそかになりがちです。
そういう子供たちが大人になるため、日本には法令を守ってさえいれば、責任を問われないという思考パターンが社会に通用しているのも事実です。
検察官、弁護士を歴任した郷原信郎氏は、「このような状況の中で形式的に法令遵守を推し進めていけば、法令と社会の実体はどんどんかけ離れ、最終的に日本社会は混乱と崩壊に向かう」と警鐘を鳴らします。
↑「やることはやっている・・」
こうした傾向は、企業のセキュリティ対策においても見られ、多くの企業はセキュリティに関して、「禁止リスト」や「チェックリスト」を設けています。
従業員一人ひとりがそれを遵守するように義務付けることを優先していますが、実際は、その対策の意味もわからない人に、形式的に手順を守らせようとしても、その対策は無いに等しいと言えるのかもしれません。
例えば、企業がセキュリティに関して設けるルールの中でもっとも一般的なものとして、「パソコンの持ち出し、持ち込み禁止」があります。
2013年の個人情報漏えいの事故は1,388件発生しましたが、その原因の14.3%は「PCの紛失・置き忘れ」だったという調査があります。
この個人情報漏えい事故の1件あたりの損害賠償額は莫大であり、1件あたり1億926万円を上回ったとも言われていますが、ハッキングでもなんでもなく、単純なPCの紛失が原因でも、企業がこれほどの大きな額の損失を受けるということを理解している従業員はそれほど多くないのではないでしょうか。
↑この個人情報漏えいの損害賠償額は1億円以上
日本マイクロソフト株式会社コンサルティングサービス統括本部に所属する香山哲司氏は、「禁止ルール」によるセキュリティ対策が、従業員によっていとも簡単に破られていることを、次のように述べています。
「禁止は一見強力な措置に見えます。ところが、禁止したら、ちょっとスキルのあるユーザーはその禁止から逃れる他の方法を見つけて、本来禁止されている機能を使い始めます。各社員は抜け道を使って生産性を上げているわけです。」(1)
↑禁止したら抜け道を探したがるのが人の常
日本人が生活する社会においては、財布を落としても拾った人はそれを盗むのではなく、交番に届けようとするなど、まだまだ相互信頼と監視を基本とする村社会の気質が残っていますが、サイバー社会においてはそんな常識は通用しません。
まして、2020年には世界中で500億もの端末がネットにつながるといわれ、企業がセキュリティを強化することは急務であり、内閣の国家戦略室委員も担当している齋藤ウィリアム浩幸氏は、セキュリティなくして「Iot(モノのインターネット)時代」は実現できないと、次のように述べます。
「 (新幹線にとっての最大のイノベーションは速さではなく、時速300キロで走っていてもしっかり止まれるブレーキだったように)IoTにとってのブレーキとは、セキュリティです。 セキュリティが整ってこそ本当の利便性を享受できる。その意味で、私はIoTは単なる“Internet of Things”というより、“Internet of Secure Things”、すなわち「loST」と考えなければ成立しないと考えています。」(2)
↑セキュリティなしには次のインターネット時代は語れない
この点、マイクロソフト社が受けるサイバー攻撃はアメリカ国防総省と同程度の頻度であるにもかかわらず、セキュリティ侵害されない企業として知られています。
同社ではノートPCの持ち出しに制限を設けていないそうですが、それができる理由はセキュリティの運用が「多重防御」ではなく、「多層防御」を想定しているからだといいます。
これは、言い換えれば、泥棒が玄関から入ると想定して、ドアに「幾重」もの鍵をつけるなどの対策をしたとしても、裏庭から侵入されたり、窓から侵入されたりといった別のリスクに対して「多層」の防備をしていなければ、意味がないということになります。
サイバー攻撃においても「パソコンの持ち出し」や「USBメモリの持ち込み」といった「入口出口」の部分よりも、そこに侵入された場合、侵入者がどのような経路で入ってくるかなどを想定し、より重要な情報資産や、高い権限へのアクセスを制限することを最優先しています。
↑マイクロソフトは侵入されたことを想定して、対策を考えている
例えば、セキュリティ対策の一つとして一般的なウィルスソフトは、過去に認識されたウィルスと比較し、駆除する仕組みですが、高度なサイバー攻撃では、ウィルスがカスタムメイドされているため、こういったウィルスソフトで完全に駆除することは困難です。
これに対して、マイクロソフト社の場合、仮にウイルスに侵入されたとしても、情報の管理者権限が奪われないように徹底しています。
データへのアクセスには暗証番号だけではなく、ICカードを用いるという「2要素認証」の方式で、資格情報を確認する仕組みにするなど、最も重要な情報を死守することにおいて、多層な対策をするという方針をとっています。
↑仮に侵入されても、多層な対策で最も重要な情報を死守する
こうしたマイクロソフト社のセキュリティ運用の哲学について、前述の香山哲司氏はこう述べます。
「“やり方”ではなく“やる事”を考えることが先です。そして、“やる事”は“なぜ(理由)”が先にあって決まります。やり方は時代とともに変化しますが、“なぜ”は普遍的な場合が多いです。“なぜ”を理解すれば、応用が可能になります。」(3)
また、齋藤ウィリアム浩幸氏も日本人が最初のメールで圧縮した添付ファイルを送ってきて、次のメールで解凍用のパスワードを送ってくるやり取りを見て、その理由が「WHY」を理解しないまま慣習で行っているから、こうしたことが起きると批判します。(4)
↑次のメールでパスワードを送るのはセキュリティ対策としては甘すぎる
言い換えれば、日本の企業はセキュリティ対策においても、戦術や手続きだけに終始して、その方向性を決めるポリシーや戦略が欠けていると言え、本当に高度なサイバー攻撃に対処したいなら、一体なんのためにこのルールやシステムを作っているのか考える必要があります。
現実の社会においても、サイバー社会においても、日本企業がそろそろ「規則だけ守っていれば良い」という無責任な発想をやめて、自社にとって大事なもの、守るべきものが何かをしっかりと理解する必要があります。
そして、そこにつながる働き方を追求し、対策を立てなければ、日本はIoTによって世界中と繋がったサイバー社会の波に乗れないどころか、飲み込みこまれることになってしまうでしょう。
参考書籍)
1. 香山哲司「なぜマイクロソフトはサイバー攻撃に強いのか?」(技術評論社、2013年) kindle p.668
2.齋藤ウィリアム浩幸「IoTは日本企業への警告である」(ダイヤモンド社、2015年)kindle p.627
3. 香山哲司「なぜマイクロソフトはサイバー攻撃に強いのか?」(技術評論社、2013年) kindle p.28
4.齋藤ウィリアム浩幸「IoTは日本企業への警告である」(ダイヤモンド社、2015年)kindle p.749
本ブログは、Git / Subversionのクラウド型ホスティングサービス「tracpath(トラックパス)」を提供している株式会社オープングルーヴが運営しています。
エンタープライズ向け Git / Subversion 導入や DevOps による開発の効率化を検討している法人様必見!
「tracpath(トラックパス)」は、企業内の情報システム部門や、ソフトウェア開発・アプリケーション開発チームに対して、開発の効率化を支援し、品質向上を実現します。
さらに、システム運用の効率化・自動化支援サービスも提供しています。
”つくる情熱を支えるサービス”を提供し、まるで専属のインフラエンジニアのように、あなたのチームを支えていきます。
No Comments