「注意」or「厳罰」？ セキュリティ事故の再発防止策の正解とは？：半径300メートルのIT

大きなセキュリティ事故が多発している昨今。もしインシデントが起きたら、ミスをした当事者を処罰するという方針は果たして効果があるのでしょうか。筆者の経験を踏まえて、再発防止策のあるべき姿を考えてみたいと思います。

[宮田健，ITmedia]

　滋賀県長浜市において、市役所職員のミスを厳罰化するという報道が大きく注目を集めました。

　実はこの記事は、生成AI「Grok」が「X」（旧Twitter）の投稿を要約する本日のニュースにおいて、AIのミスによって別の自治体の取り組みとしてまとめられてしまい、間違えられた自治体が注意喚起を出すといった別の問題が起きたのですが、それは一度置いておき、「厳罰化」という観点からセキュリティについて考えていこうと思います。

「注意」or「厳罰」？　セキュリティ事故の再発防止策の正解とは？

　筆者も昔、社会人として反省文を書いた記憶が何度かあります。B2Bのテクニカルサポートとして不具合を何とか判別して修正した後、再発防止のためのレポートを提出せよ、という指示が顧客から飛んでくることもありました。

　一通りの資料を作りつつも、「再発防止策」については非常に苦労した記憶があります。不具合はどうしても起きることを考えると、正直「以後最大限気を付けます」以上の言葉が出てきません。上司とも相談しつつ、それをきれいな言葉にしてレポートを作成していたと思います。しかし、ことセキュリティについては「気を付ける」は再発防止策にはなり得ないのです。

　かつてメールセキュリティが注目を集めていたとき、情報漏えいといえば「複数の宛先を誤ってBccで送ってしまう」ことでした。確かにそれは気を付けていれば防げるかもしれませんが、完全に防ぐことは困難です。実際、この対策として誤送信対策ソリューションが非常に盛り上がりました。

　送信時に何度もアラートを出すもの、上司が必ず承認しなければならないもの、実際の送信までタイムラグを入れて取り消しできるようなものなど、ミスに対して「ソリューション」の力で対応するのは正しいITの活用方法だと思います。

　筆者もいまだに「Gmail」の送信取り消し機能には助けられています。複数のチェックが入るような仕組みで、最後の最後で間違いに気付いて指摘されることもあります。ソリューションと仕組みが、ミスへの対策となることは皆さんも実感していると思います。

ミスを厳罰化した先に待つのは“隠ぺい文化の醸成”

　しかし対策の方向として、ミスをした人に厳罰を与え、次からはさらに気を付けさせるという“過激”な考え方もあります。これが有効なケースもゼロではないとは思いますが、正直セキュリティについては全くお勧めできません。

　サイバーセキュリティの世界で最も貴重なリソースは「時間」ではないかと思います。サイバー攻撃はかつては深く、静かに、じっくりと侵害してきたかもしれません。しかし今や攻撃は高度化し、一度始まると、数時間や数分のオーダーで被害が拡大します。EDR（Endpoint Detection and Response）で被害を検知できてもそのときにはもう手遅れになるケースもしばしばです。

　ここ最近の侵入原因は「VPN」をはじめとしたネットワーク機器からというのが定説ですが、依然として「電子メールに添付されたファイルを実行してしまった」というケースもあります。その際、最も早く気が付くのは、クリックした本人のはず。

　筆者がもしその本人だとして「ミスをした奴は厳罰だ！」と言われ続けていたならば、真っ先にそのクリックした事実を「隠す」方向に頭を回します。それでもいつかはバレますし、インシデントは進行しています。この「隠す」という工夫を、いち早く正確に「報告」に向けなければ、組織全体が止まってしまうのです。

　2025年の秋は、名だたる日本の大企業がランサムウェア被害に遭い、システムダウンやビジネスの完全停止、かつサプライチェーンへの影響も生じています。注目してほしいのは、これらの企業がセキュリティ対策を怠っていなかったことです。

　例えばアスクルが公開した資料を見る限り、情報セキュリティ責任者（CSO）を設置し、ゼロトラストセキュリティの導入を推進していたとあります。アサヒホールディングスについても、少し検索するとゼロトラスト導入の成果を報告する記事が見つかりました。攻撃がもはや最先端の対策を超えてきているのです。

　もちろん復旧が完了し、インシデント報告書が上がってこないとその原因は分かりません。考え得る対応をしていても攻撃を受けてしまう現状を踏まえると、鍵はセキュリティ担当でもソリューションでもなく「従業員」そのものなのではないか、と筆者は考えています。

　従業員はそれぞれの現場を知る、最高のエキスパートです。その人たちが感じた、わずかな違いや違和感こそ、攻撃を知る最初のシグナルです。そのとき報告することをためらってしまう、足かせがあってはなりません。セキュリティにおける「ミスに対する厳罰」はまさに、組織全体が排除すべき敵だと思います。

　サイバー攻撃への対抗手段はそう多くはないのですが、セキュリティ担当ではない一般の従業員も、きっと役割があるはずです。恐らく多要素認証を受け入れることや、フィッシング対策といった地道なことこそ、守らねばならないことでしょう。もしあなたの組織で「フィッシングに引っ掛かったら厳罰です」といったルールがあるのならば、それはおかしいと声をあげてください。

　全ての組織が壊滅的な被害を受ける可能性がある今、全ての人が備える必要があると思います。特にここ最近の攻撃は金曜夜に動きがあるなど、日本に特化しているのではないかと思う部分も。日本的なルールこそが狙われていると考え、マインドを変える努力をしていきましょう。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。