今回は,NetSecでの基調講演(Keynote Speech)とパネル・ディスカッションの内容を紹介したい。それぞれ,リスク・マネジメント(リスク管理)とセキュリティ教育・啓発活動をテーマにしたものだった。米国の企業/組織に向けたものだったが,日本国内の企業/組織にも十分通用する内容だった。

リスク・マネジメントでは完璧を求めない

 リスク・マネジメントに関する基調講演をおこなったのは,Liberty Mutual Insurance GroupのCISOであるスコット・ブレイク(Scott Blake)氏。タイトルは,「Uncertain Risks: Information Security in Corporate America」。


写真3●Liberty Mutual Insurance GroupのCISO スコット・ブレイク氏による基調講演

 ブレイク氏はまず,リスク・マネジメントの問題を次のような指摘した。

 「情報セキュリティにまつわるリスクは不確かである。不確かな理由は,インシデント(事件/事故)の発生に関する統計が存在しないためだ。不確かであるがゆえに,企業/組織としては完璧を求めようとする。そのことが,リスク・マネジメントを困難にしている。発生頻度がほとんどゼロに等しい事態については,想定しないことが肝要である。また,リスクをすべて排除するのではなく,受け入れることを考慮することも重要だ。リスク・マネジメントには,リスクを受け入れることも含まれる」

 この指摘には筆者もおおむね賛成である。日本国内においても,完璧を求めるあまり,セキュリティ対策を否定する人がいる。「いくらコストをかけて対策しても,インシデントを100%防ぐことはできない。それならば,やらなくても同じ」といった具合だ。「完璧を求めず,できることからやる」「リスクによっては受け入れることを考える」---といったことは,リスク・マネジメントを実施する上では非常に重要である。

 ただ,ブレイク氏がその後に語った「受容できるリスクの例」には,疑問を持った。日本と同じように,米国でもノート・パソコンの盗難は大きな問題になっている。同氏は,この問題については「対策を実施するよりも,盗難を許容するほうが安上がりになる」ということをシミュレーションの結果をもとに解説した。

 驚いたのは,ノート・パソコン1台あたりの被害額を,たったの750ドルとしてシミュレーションをおこなっていたことだ。ノート・パソコンを簿価で評価すれば妥当な金額だが,そのパソコンに保存されているデータの価値については無視している。もしも保存データに個人情報が含まれていれば,日本では大騒ぎになる。事態を収拾するコストを考えれば,パソコン1台の盗難・紛失で発生する被害額は750ドルどころではないのだが,そのことは問題にしていなかった。

 ブレイク氏に限らず,メールの配信ミスやパソコンの盗難に伴う個人情報の漏洩事故などは「騒ぐほどのことではない」といった感覚は,米国人に共通しているように思える。

鶏の帽子でセキュリティの啓発活動

 ジョン・オライリー(John O’leary)氏がモデレータを務めたパネル・ディスカッションでは,セキュリティ教育の難しさと実践例が議論された。ジョン・オライリー氏といえば,セキュリティの分野では神様のような存在。参加者の尊敬のまなざしが彼の威厳が健在であることを示していた。

 パネルのテーマは,「Awareness Panel; What Works, What Doesn't」。セキュリティ・ポリシーを策定しても,従業員に浸透させることは難しい。「啓発活動」は企業のセキュリティ担当者の永遠のテーマである。このことは,米国でも日本でも変わらないようだ。

 パネラーは,Sprintのクリナ・スナイダー(Krina Snider)氏,United Government Servicesのトッド・フィッツジェラルド(Todd Fitzgerald)氏,CBCInnovisのジャック・ジョーンズ(Jack Jones)氏,Royal Canadian Mounted Policeのダニエル・マーコット(Daniel Marcotte)氏。いずれも,組織の中でセキュリティに関する啓発活動に取り組んでいる担当者だ。

 各氏とも,セキュリティの啓発には工夫が必要であるとして,それぞれの取り組みを紹介した。例えば,セキュリティ上の注意点を書いたポスターを作成して張り出すことは当たり前で,啓発のためのマグカップやマウスパッド,缶バッジなども配布しているという。


写真4●セキュリティ啓発ポスターや缶バッジを見せるSprintのクリナ・スナイダー氏

 CBCInnovisのジョーンズ氏は,同氏が所属している部署が,社内の人間からは何をやっているところか理解されずに,日ごろは「エイリアン」と呼ばれているという。そのような中,社内ユーザーの関心を引くために鶏の帽子をかぶったり,囚人服を着て(セキュリティ・ポリシーに違反した者との設定らしい)社内でチラシを配って回ったりするなどの,涙ぐましい努力をしている様子を伝えてくれた。

 日本では,情報セキュリティの啓発というと堅苦しい講義を従業員に聞かせるケースが大半だが,少し愉快な啓発方法について考えてみるのも,関心を持続させる上で大事なことだろう。


写真5●CBCのジャック・ジョーンズター氏に鶏の帽子をかぶらされたジョン・オライリー氏

 最終回となる次回の記事では,NetSecの“目玉”ともいえる,コンピュータ犯罪調査報告書について解説する。セキュリティ業界にとっては“残念”なことに,コンピュータ犯罪の被害額は大きく減少しているという。

(ネットワンシステムズ  セキュリティ事業推進本部 本部長 山崎文明)