「大至急！」の相談で直面した情報セキュリティの“悲しき現実”：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

情報セキュリティの重要性が社会で広く認識されるようになったが、それでも残念な現実は存在する。最近直面したある出来事から、「情報セキュリティの本質」について触れてみたい。

[萩原栄幸，ITmedia]

あまりに非常識な相談

　実は今月上旬、ある農協から「至急、相談したい。明日にでも来てほしい」とメールで依頼があった。ほぼ同時期にJAバンクでの横領に関する報道が相次いでおり、この事件に関連するものだろうと見当がついた。早速、先方に出向いで50代前半の情報セキュリティ管理者と面談した。

　管理者によれば、この農協ではまだ不祥事が発生していないものの、経営側から早急に内部犯罪や情報セキュリティ対策を作成するよう指示があったという。そこで筆者に、「どういう面に注意すべきか」と尋ねてきた。しかし、「まだ実状を全く聞かされておりません。無理です」と、答えるしかなかった。

　通常こうした場合は、まず経営側に紹介し、関係部署へのあいさつや見学、ヒアリングを通じて、NDA（秘密保持契約）を締結する。そして、その企業の問題点や事情に関する情報を包み隠さず提供してもらい、経営側の意向や優先度、予算などに沿って検討し、マスタープランを組み立てていく。

　ところが、今回の相談依頼はいきなり本題を突き付けてきた。さらには、「取りあえず、萩原さんがネットで紹介されている一般的な対応策を教えていただきたい、それから検討するので」と言われる。その程度なら、わざわざ現地にまで出向く必要は無かった。

　さすがに現地に来ている以上、（1）何をしたいのか、（2）最優先すべき困り事は何か、（3）経営側が最優先として指示しているもの――をまず聞いた。

　「明日でも！」と依頼される場合、既に内部犯罪が明るみになっていたり、マスコミに気付かれたりして、すぐにでも経営レベルで対応を検討しなければならない状況であることがほとんどである。

　だが管理者は、「うちに限ってそんなことはありません！　来期のセキュリティ対策をどうすべきか、よそでの具体的な取り組みや参考意見を伺いたいのです。そのような“感じ”のメールをお送りしたはずですけど」といわれる。そのような内容では無かったはずだが……。ただ、「萩原さんと相談した結果」とか「実際に呼んできました」といった行為を上司や経営側にアピールしたいだけなのか……。

　上述したように、実際の対応はNDA契約とコンサルティングを締結した上で行っている。本稿やセミナーなどで紹介している事例は、守秘義務に抵触しない範囲で取り上げているものだ。「契約上、個別事案の内容は口が裂けても言えません。しかも、初めて私をお呼びされた御社では契約すらされておりません」と答えるしかない。

　管理者によれば、隣の〇〇県のJA〇〇が筆者に対応策を相談していると話されたらしい。「JA〇〇さんの内容だけでも良いのです。一言、二言添えてくれるだけでもいいんです」という。もちろん、筆者がJA〇〇と契約をしているかどうかも、一切答えられない。それに、「一言、二言添えてくれるだけでも」とは、あまりにも虫がよすぎる注文である。

　とどめのひと言は次のようなものだ。

　「今や世の中のほとんどの情報がネットからタダで入手できるではありませんか！　NDAと言われるが、私が黙っていれば絶対に分からないでしょう！」

　読者の皆さんは、筆者の憤りがご理解できるだろうか。それなら、ネットで収集された情報だけを頼りに、経営側に対策を提案すればいい。筆者は情報セキュリティの世界で30年近く仕事をしている立場だ。この相談を受けるためにも、交通費などの経費がかかっている。しかし、この人の“個人的な都合”を感じただけに、「帰ります」とだけ告げた。

　なお、事前相談の段階から費用を請求することは、ほとんどしていない。つまりは、その後にコンサルタント契約を締結し、その報酬に含めている。最初から契約しないことを前提として、遠方から無料相談のために専門家を呼び付けるとは、いかがなものだろうか。