前回解説した「変化の根本」にあるものは、ユーザーを攻撃してくる敵が、金銭目的の者であれ、主義主張を持つ者であれ、スパイであれ、組織化されたシンジケートとなっていることだった。攻撃者の狙いは何であれ、「組織化」されていなければ、ユーザー側も個々の責任で対策を取ることが可能になる。
しかし残念なことに、ブラックあるいはグレーのシンジケートは明確なビジョンと目的、高い動機そして固い結束を持っている。さらに開発投資を怠らず、環境変化をリードしている。
これに対して守る側のホワイトシンジケートは、組織化すらできておらず、ほとんど存在していないビジョンと目的の下で、低い動機と緩い結束しか備えていない。組織相互の信頼関係はないに等しく、開発投資にも意欲は低く、環境変化に翻弄されているのが実情だ。
ユーザーはこうした状態から出発して、攻撃者と戦うことを認識しなければならない。
「事故前提社会」への対応力強化を実践する
これまで私が何度も繰り返してきたことだが、こういった攻撃にユーザーが対抗するための第一歩となるのは、「事故前提」の精神である。
2009年2月に、当時の内閣官房情報セキュリティセンターが発表した第2次情報セキュリティ基本計画における重要メッセージ「『事故前提社会』への対応力強化」の精神を、具体的に実践することである。
この精神の基本は、情報通信(デジタル)技術を最大限に活用し、組織の事業継続力を向上させることにある。そのためには、事故が一切発生しないというのは非現実的であると意識を変える必要がある。事故がないという前提は画餅にすぎず、“風邪を引いたら社会人失格”と言うようなものだ。しかし、事故に遭ったとしてもその後に大事なことがあるのだ。
では、事故前提の発想を取り入れるにはまずはどうすればいいだろうか?それは「今、その事件があったら、どうするか?」ではなく「今、その事件があったら、どうなるか?」を認識することである。例えば、「今、自社のホームページが改ざんされたら?」で考えてみよう。
「どうするか?」で考えた場合、即座にサイトを停止し、お詫びページ(「ただ今システムのメンテナンス中。しばらくお待ちください」といった文言を表示するだけの簡単なページ)に切り替える。その後で原因を究明し、手当てをしたあと、バックアップを使って復旧する――という発想をするのが一般的だ。
