情報漏えい事故は減らない。
技術とマネジメントや統制の枠組みは様々に取り組まれているのだけれど。
「人の問題」への取り組みはなかなか進まない。
そこで,「結局人の問題だね」で思考停止しがち。
そうなのだ,システムの課題を考えるときも,運用を適切に行う為の課題と対策は,企画や開発のそれより難しいと感じる。
IPAの「リスク認知と実行に関する調査」は,この問題に,社会心理学の知見からアプローチしているもので,素晴らしい。
こうした研究が進んでこそ,技術や枠組みの研究が現実を変える力を一層強く備えられることができるのだろうと思います。
報告書は
http://www.ipa.go.jp/security/economics/report/behavior/index.html
報告書末尾の「今後の課題」では,調査と実験との整合性をとるための実験手法など,研究の方法論の充実が必要だと指摘しておられるけれど,ぜひ,こうした研究を継続していただきたいと思います。
そして実践的な研究成果を,ISOの枠組みづくり,NISCでのセキュリティ政策づくりに生かしていただけたらと思います。
情報セキュリティ
ある会社から,「自社から情報漏えいしたと疑いをかけられている。自社からの漏洩の有無を調べて欲しい」と求められて調査している。
なぜ弁護士が必要なのか。
それはこうだ。
仮に漏洩があったとすれば,法的責任を問われる可能性がある。また,漏洩した社員の懲戒問題に発展する。
漏洩がなかったとすれば,疑いを掛けた相手にそれなりの対抗をしなければならない。
いずれにせよ,法的責任がかかっている。
そこで,調査の設計と実施には,法的な争いに絶えられる証拠の粒度を知る弁護士が必要となるというわけだ。
今回の調査設計は,その情報の入手以降,情報漏えいの可能性のあるルートをしらみつぶしに洗い出して,その一つひとつを点検して,そのルートからの漏洩の事実,リスクを点検・評価するというものだ。
当然弁護士一人でできるわけもない。
管理,システム,調達,資産管理の各部門から人を出してもらって調査チームを構築して調査方法を設計し,役割分担して調査を実施する。
作業の中核は,証拠の収集だ。
つくづく,コンプライアンス経営は,証拠にもとづく経営だと痛感する。
コンプライアンス経営が問われるのは,コンプライアンス経営が争われたときだ。
争いに対抗するには,証拠が勝負だ。
だからコンプライアンス経営の肝は証拠の確保なのだ。
ISMSの文書化と記録が,情報管理のコンプライアンス経営に役立つ理由はここにある。
経済産業省が,サイバーセキュリティ演習の調達情報を公表しました。
平成24年度情報セキュリティ対策推進事業(サイバーセキュリティ演習)に
係る委託先の公募について
http://www.meti.go.jp/information/data/c120530aj.html
募集は6月19日 午後6時までです。
対象は全国に散らばる支社のひとつ。
監査のテーマは,セキュリティ管理規程の浸透度。つまり,支社が本社が定めたセキュリティ管理規程をきちんと理解して実施に取り組んでいる程度を調べるということ。
驚いたのは,「規程の中身が難しくてとても読めない」「やることはやっている」という責任者の反応。
たしかに,規程は読むにはそれなりの気構えがいるけれど,解説も出し,マニュアルもある。
要するに,仕事が忙しくって情報管理なんかやってられない。それなりに注意しているからいいじゃないかということ。
メーカーなら物作りが仕事。だから責任者のような主張がなされても,まあ,わからないでもない。
でも,今回監査をした会社は,サービス業。しかも,顧客や関係者から情報を得て,それを職員や外部委託先に伝えて仕事をさせるという会社。やっているのは情報処理そのもの。
その責任者がこういう感覚ではね。チェックリストの最初が,規程を周知しているかという質問だったから,その後のチェックなど無意味。
ただ,考えたのは,規程を読もうとしない原因がどこにあるかということ。
まずは規程の書きぶりが,仕事の具体的な手順で使われる言葉を使っていないこと。
次は,何をすれば良いかを,現場に応じて考えてもらうことになっていること。
「情報管理責任者は・・・・適切な措置を講じる」というのが良い例。
本社は,支社の手順を知りえないから,情報管理責任者に考えてもらわざるを得ないのだけれど,現場の責任者に考える力というか,責任感がないときは,貴方が考えるんですよとか,責任感を持てとか言っても始まらない。
このような状況を是正するにはどうしたら良いのか。
入力の時はこういう注意をしろ,こういう点検手順をとれ,と具体的に規定することがひとつの方法。
規程の教育が十分でないのだから,具体的にやってみせるか,具体的に規程を遵守している状態を見やすくしてあげることが一法だろう。
そして何よりも,情報セキュリティが,仕事の品質そのものだということを理解してもらうこと。
この理解をしてもらうには,仕事のフローを書き出して,そこにセキュリティ上の脅威を書き出して,そこに,規程の内容を具体的な手順として書いて,脅威がどれほど経るかを実際に感得してもらうことが役立つようだ。
本社が定めたルールを理解し遵守することは,組織人として当然だという思いは捨てて,こうやるんだ,ほらできるでしょ。こういう手取あしとりを蓄積して,ひとつづつ出来るようにしてゆく以外にないのだろう。
情報セキュリティといっても,今回のテーマは要するにコンプライアンスレベルの監査。
人はなぜルールを無視するのか。
同じセキュリティ監査でも,システムセキュリティの監査とは全く違ったアプローチと社会心理学の知識が求められると痛感した次第。
答えはこうだ。
会社の情報セキュリティポリシーでは,従業員は一定の例外を除いて,業務目的でのみ業務用端末を使うことが許されているに過ぎないことが規定されているだろう。
これに反して従業員Aが児童ポルノをダウンロードしていたとする。
そこに,ファイルを共有するというアプリが組み込まれていたとする。
これを外から見ると,不特定多数に対する提供目的で児童ポルノを所持しているという状況になる。
これは,児童ポルノ禁止法の提供目的所持罪の外形だ。
刑事訴訟法は,司法警察職員は,犯罪の嫌疑があると認めるときは捜査「しなければならない」と規定している。
その結果どうなるかは言わずもがなだ。
捜査機関によって業務用端末や職員Aの取調を受ければ,当然業務に支障がでる。
場合によっては業務用端末の利用が一時制限されるだろう。
情報セキュリティマネジメントで取り扱うべきリスクは,情報システムのCIAに関するリスクだけではない。
従業員も立派な情報資産なのだ。
情報セキュリティマネジメントでは,従業員の違法行動のリスクも考えることが大切だ。
児童ポルノ禁止法違反の弁護活動の教訓のひとつだ。