「大至急!」の相談で直面した情報セキュリティの“悲しき現実”萩原栄幸の情報セキュリティ相談室(2/2 ページ)

» 2014年03月28日 08時00分 公開
[萩原栄幸,ITmedia]
前のページへ 1|2       

情報セキュリティの感性とは?

 世の中には、こういう感性を持った人間が少なからず存在する。それは理解しているし、ある程度は我慢できるが、ここまで露骨に表面化されると心底辛くなってしまう。しかも、こうした感性が幅を利かせている企業に限って、「○○をしました」という点が何よりも最優先される実態に直面する。この農協でもそうだった。

 筆者は席を立とうとしたが、周囲から制止されたので仕方なく話の続きを聞いた。すると、この農協では内部不正を防止するようなシステムの導入を考えているとのことだった。

 「一流IT企業のA社にシステム導入を含めてお願いしていたのですが、どうにも歯切れが悪いのです。一応は○と△の2つのパッケージを推薦してきたのですが、これは萩原さんからみてどうでしょうか?」(管理者)

 またもや回答に困る質問だった。○と△も知っているが、農協の状況を全く知らない筆者には答えようがない。いずれも世間ではそこそこ有名であり、“無料”のネット上には幾つも導入の感想が書かれている。筆者の意見は必要ないだろう。

 「ネットの意見は完璧ではないでしょう。もし、これを頼りにシステムを導入して不正でも起きたら、私の立場が悪くなります。萩原さんは○と△をどう思っているのですか?」(管理者)

 もはやこれ以上、答える義理は無かった。立ち去る前に、こうお伝えした。

 「正直にいいます。御社ではどんなシステムを導入しても、不正は発生します。本当に不正がないというが、正確には単に発覚していないだけですよ。御社の社風ということではなく、どんな優良企業でも不正は100%発生します。それを完全に防止することは不可能なのです」

 どんなシステムでも人間が管理し、人間が運用している以上、不正を完全に防ぐことはできない。ただ、抑止力にはなりえるだろう。それは、犯罪を多少やりにくくしたり、発生後にその事実を早期発見できる(かもしれない)といった程度でしかない。


 情報セキュリティの現場で30年近く仕事をしている経験から最も大事だと思うことは、やはり「社員や関係者の教育」である。「年1回決められているから」といった気持ちで教育を実施しているのでは、不正を増長することはあっても防止することができない。

 「教育など無意味」という人もいるが、それは教育に心がないからである。笑いたい方は、笑っても構わない。しかし、「心のある教育こそ最高の情報セキュリティ対策」という「事実」を30年近く現場で作業していて何度も見てきた。そのためにどうすべきかという作業を的確に行うことが筆者の使命である。

 ソフトやハードだけを重要視するのではなく、わが社の最大のリソースは「人(人格)である」といえる企業は全てに対して冷静かつ、柳のように柔軟に危機を乗り越えていく。ここが「要(かなめ)」なのだから当然だと感じている。

 情報セキュリティにおける本当の感性とは、「お茶」や「お花」と同じものだ。まずは形から入る。その時に疑問を持っても、まず素直に従う心を持つ。そして、各人の心の中で動作を1つ1つ習熟し、心の中で消化していく。食べ物を胃の中で吸収するのと同じように。そうすることで「真の理解」が芽生えてくる。決して他人から強制されるものではない。

 筆者は科学技術をこよなく愛しているし、「事実」がいかに重要であるかも理解している。「人の心」もそれと同じく重要であり、例え目には見えない「人の心」でも「事実」になる。他人を深く理解(観察)する必要はなく、他人の行動を推測できる「眼」を持つことで、不正の防衛策に必要なものがみえてくる。内部不正は当然ながら、サイバー攻撃でも攻撃者がどんな気持ちで、どんな手口を使うのか――そのヒントがそれまでの状況からみえ、その対応方法も手に取るようにみえてくる。

 技術やシステムがあれば、それに越したことはないが、仮に技術がなくとも、対応できるようになる。セキュリティ会社などが公開している統計資料も、「その中の真意はなにか?」を自分で探ることで、最先端のハッキング攻撃やフィッシング詐欺の中身がみえてくるだろう。情報のアンテナを高くすれば、人より先に手が打てる。

 「情報セキュリティ管理者」と称される方々には、ぜひそういった感性で仕事をしていただきたい(実践されている方もたくさんいる)。

萩原栄幸

日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。

組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ