Written by 香山 哲司
ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント(2019年6月~)
2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。
電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やスマートカード導入の支援を中心的な役割で担当。
2007年CISSPを取得後、
2010年7月(ISC)2より第4回アジア・パシフィック Information Security Leadership Achievements アワードを受賞。
ホワイトペーパー
コロナ禍を変革に役立てる
セキュリティ事故の“見方”を“味方”につけて、“資格”で得た知識を活用し“死角”を見つけ、“ディスカバー”した課題を“ディスる”、少々強引だった語呂合わせも今回は特にありません。これで万事OKといいたいところです。ところが、残念ながら時間が経過するとともに“ほころび”が出ます。
システムや製品が経時変化・劣化・故障により、本来の性能を出さなくなるのも“ほころび”ですが、これまでの常識とは違う環境になったときに、既存のルールでは対応できない、いわゆる制度疲労といった“ほころび”もあります。
今般、最もそれを痛烈に感じるのは、新型コロナウイルスの影響で、普段の生活も仕事のスタイルも一変しこれまでのルールどおりでは支障をきたすことをいろいろな場面で経験されたのではないでしょうか。
たとえば
- ・クラウド利用は禁止
- ・在宅勤務には、会社支給のPCを持ち帰るしかないが、持ち出しが禁止されている
- ・VPN接続が一斉に利用され社内の環境に入りたくても入れない
など
非常時のルールがきちんとできておらず、テレワークの運用開始時には様々な混乱があったことが想像できます。これまで社内・社外でセキュリティの境界を設け、いわばその“関所”をくぐるための様々なルール・管理策も厳しく言えば“ほころび”です。最近ではあまり聞かなくなったBYODや災害時のBCP対策でとっくに課題になっていたにも関わらず、今回のコロナ禍で、その管理策の実効性をあらためて再考せざるを得なくなったとも言えます。
今回は運用の見直しについてその考え方、進め方について考察します。
考えることの大切さ
非常時は厳しい局面であるいっぽう、ゼロベースで様々なことを見直すよいチャンスともいえます。「考える力」を試されているとも言えるでしょう。
「考える力が弱い人」には”枠組み”が欠けている~「自分の頭で考えること」の本当の意味
出口 治明:APU(立命館アジア太平洋大学)学長の記事から、「タテ・ヨコ・算数」の3つの枠組みを参照し、今回のタイトルに使わせていただきました。情報セキュリティを再考する上での筆者の意見をまとめたいと思います。
記事からの引用ですが、「タテ」は、昔の人の考え方を知ることです。これまでの歴史を知り、将来を見通す。ITセキュリティでも、これまでの管理策の良し悪しを客観的に知り、その管理策は現状をうまくコントロールでき維持すべきことなのか、大胆に変革するのかを検討することに役立ちます。
「ヨコ」は、世界の人、他社がどうやっているか知ること。IT以外の産業での安全への取り組みを知ることも大切です。第2回で医療での“インシデント”の意味とITでの“インシデント”の意味の差などもその一例です。
「算数」は、そのまま記事の引用ですが、
――――――――――――――
「エピソードではなくエビデンス」で、あるいは「数字・ファクト・ロジック」と言い換えることができます。平成の30年間を考えると日本の正社員の労働時間は年間2,000時間を超えており(まったく減少していない)、平均成長率は1%あるかないかです。アップル・トゥ・アップル(同じ条件のもの同士を比べること)で人口や国土、資源(の有無)等の条件がよく似たドイツやフランスと比較すると、彼らは1,400時間前後で平均2%の成長を達成しています。
――――――――――――――
「エピソードではなくエビデンス」で、あるいは「数字・ファクト・ロジック」と言い換えることができます。平成の30年間を考えると日本の正社員の労働時間は年間2,000時間を超えており(まったく減少していない)、平均成長率は1%あるかないかです。アップル・トゥ・アップル(同じ条件のもの同士を比べること)で人口や国土、資源(の有無)等の条件がよく似たドイツやフランスと比較すると、彼らは1,400時間前後で平均2%の成長を達成しています。
――――――――――――――
コンピューターもインターネットも欧米で発明・開発されたものです。そうした国は、日本よりうまく情報処理にITを活用し生産性を上げていることはよく言われることですが、週刊ダイヤモンド “昭和という「レガシー」を引きずった平成30年間の経済停滞を振り返る”で取り上げられた次の表は、多くの人が驚いたのではないでしょうか。平成元年に多数トップ10入りしていた日本企業は、平成30年には1社もありません。
この表を見れば、ヨコ:世界の現実を、算数:数字というナイフで鋭く切り取られた事実がわかります。
他にもあります。
2,000年間で最大の発明は何か (日本語) 単行本 ? 1999/12/1ジョン ブロックマン著 では
「この2,000年間で最大の発明の1つとされる公開鍵暗号方式」という説もあり、西暦2000年前後から普及を迎えた公開鍵暗号方式を基にしたPKI(公開鍵暗号基盤)は、電子署名の決定版と思われました。しかしWebサーバーとのSSL通信のためのWebサーバー証明書においては普及しましたが、デジタルデータへ電子署名し、これまでのハンコの文化をなくしていくことは残念ながら20年経過した今もほとんど変化していません。ハンコを押すためだけに出社せざるを得ないということを自粛期間中にもよく耳にしたニュースです。
欧州エストニアでは、PKIやICカードを活用し、会社の登記が行えます。 eIDカード(エストニアeIDカード)などの所持者が平均的な企業を設立するのに、最短で9分25秒。一般的な起業に必要な時間は18分と言われています。
引用 Wikipedia エストニアeIDカード
ITは単なる文房具の延長で、これまで紙とペンと定規で作成した書類をPCで処理したことをデジタル化と捉えることとは間違いではありません。しかし、それを印刷しハンコを押し、その紙を事務処理のために次の人に回していくような運用は、デジタル化の本当の威力を生かせていない典型的な例です。
ITを事務処理の表層的な合理化と捉えるのか、新しいビジネスを起こす強力な武器と捉えるのか、その大前提がそもそも違うところに情報セキュリティの大切さを高らかに語っても、別の専門分野、特に経営者にきちんと伝わらない理由の一つであるように思います。
運用を見直す
ITの運用、セキュリティの運用に前述の「タテ・ヨコ・算数」の枠組みをどう適用するか、具体的な例をあげてみます。
「タテ」は、昔の人の考え方を知ること、これまでの歴史を知り、将来を見通すことでした。
各技術の成り立ち・背景を抑えておく。同じような技術を単に新しい言葉として表現されているだけのバズワード化したものではないか?を判断できる眼力も大切です。
また、自分が所属する組織にはどのような文化があり、大切に守るべきことと、改革すべきことを知っておくことも、運用を見直す際の影響度の把握に役立ちます。
しばしば改革は“絵に書いた餅”で、実効性がない状態に陥りがちです。その理由の1つがその組織の属性、習慣といったものを考慮せず、シェアの高い製品の導入、ベストプラクティスの安易な適用、あるべき論だけで突き進んでしまうことがあげられます。
「ヨコ」は他社でうまくいったこと、しくじったことを学ぶことが第一に上げられるでしょう。これは組織に籠って(こもって)いては見えてきません。コミュニティに参加することや資格取得で知り合ったメンバーなどで情報交換の機会をつくり、外の景色を見ることも大切です。ニュースや記事をウォッチしていくことも大事ですが、しばしばフィルターのかかった情報であったり、現場の生の声が反映されているとは限らない場合があるからです。
一方、コミュニティにも課題があります、スキルアップのために情報交換を行うことが目的のはずが、徐々に「情報発信をする人」と「情報収集する人」に分かれていき、コミュニティの本来の良さがなくなることもよくある状況です。「情報発信をする人」に「情報が集まる」という意識でコミュニティに参加することが大切です。
そして「算数」です。
ITの運用やセキュリティは、数値化しにくい分野です。コスト削減などお金に換算できるものはともかく、質的なことは定量化しにくいものです。
そのせいもあるのか、「うまく運用できて当たり前、事故が発生するとお叱りを受ける」という少々不利な役回りで、つい愚痴を言いたくなる分野でもあります。しかし、ここががんばりどころです。多くの場合、経営的判断は数値化されたもの、客観的なものをもとに行われるにも関わらず、「うちの上(経営層、幹部)は運用がわかってない」といっても何も改善しません。
定性的なことをどのように定量化、数値化するとよいでしょうか。何点か具体例を紹介します。
シンプルな割に意外に実施されていないのがアンケートです。しばしば、市場調査など外部向けに実施されるアンケートは、社内・組織内のIT環境に対して実施されていません。アンケートをとるだけで、すぐにわかるのは回収率であり、YES NOで回答できる設問を用意することで明確に数字にすることができます。こうしたアンケートを定期的に実施することで、昨年からの改善ポイントや低下したことなどが一目でわかり、その結果をもとに運用を見直すポイントが明確になります。また実施に向けて組織としての決裁を受けるための参考資料にもなります。
技術面の細かい数値化の例としては、パッチ適用率などもあります。全端末の90%の適用に2週間かかっていたのが、システム化・自動化により1週間以内に95%になったなど、工夫次第でいろいろなものが「算数」の対象になります。
より網羅的には、セキュリティ監査などで用いられるIT環境の成熟度を数値化する方法です。セキュリティ管理策を人的・組織的の観点、技術の観点、プロセスの観点などで分類し、管理策ごとに5段階で評価、
- 1.管理策がない
- 2.個人レベルで対応済
- 3.組織(部門)レベルで対応済
- 4.PDCAのサイクルで定期的に見直しが行われている
- 5.他部門・他社の模範となるレベル
などの評価基準を設け、自組織がどの段階にいるのか明確にします。前述のアンケート同様、昨年との比較ができたり、部門間で比較でき、次の行動を起こす判断基準ができるようになります。
「タテ・ヨコ・算数」どれも大切ですが、特に注力すべきは「算数」と筆者は考えています。
まとめ
全4回をお読みいただきありがとうございました。
筆者の経験をもとにした表現のため、読者の方に必ずしも当てはまらない内容もあったかもしれません。可能な限り、基礎として押さえておくべき理論と、これまで裏打ちされた実践・ベストプラクティスが織りなすことを目標に執筆を進めました。
本連載は情報セキュリティを対象としたものですが、ビジネスにおいてITをどこまで活用することができるのかを目標にしていることが根底にあります。
繰り返しになりますが、ITは文房具、鉛筆、ノート・方眼紙、定規がデジタル化されただけとの認識された時代もありました。しかし、それにとどまることなく、既存ビジネスを変革したり、まったく新しいビジネスを創造するなど、一段、二段と違う高みに引き上げるためにITを使うことが今後の目標になります。まさにDX、デジタルトランスフォーメーションです。その中であっても、セキュリティ課題をきちんと対応されることが重要です。
今回の記事でも触れた、科学技術は良いことにも悪いことにも使えることを常に考慮し、新しいビジネスを作り上げないとせっかくのアイデアやビジネスが台無しになってしまう可能性を秘めているからです。
2016年に情報処理安全確保支援士(登録セキスぺ)が国家資格となり、筆者もその集合講習講師として活動しています。医療には資格をもった人が医師・看護師として従事できるように、情報セキュリティの分野でも資格をもった人がきちんと対応できるように制度が整備され始めてきました。そういう時代に入りつつあります。
筆者の肌感覚ですが。医療ではインシデントは事故発生前の状況をさすのに、ITでは事故のことも含めている時点でまだITは歴史も浅く、ゆるい目標で運営されているように感じます。新しい時代にふさわしいセキュリティを構築するために、今回の連載が少しでもお役に立てれば幸いです。
関連する記事
