『日経コンピュータ』の最新号、11月26日号の特集記事「組織で挑むセキュリティ脅威」で、複数の企業の情報セキュリティ担当者にお会いした。今回のテーマは、タイトルの通り「組織」であるが、実際には組織を構成する個人にも焦点を当てている。取材を通じて「情報セキュリティ担当者には、何が必要なのか」についてたずねてみた。
お会いした担当者の多くに聞いてみたところ、万が一の被害想定や事故後の対応まで考える必要があるという。つまり、セキュリティ関連の技術だけではなく、リスク管理能力が求められているのである。確かに、こうしたスキルはますます重要になっているようだが、それに加えて「心配性であること」あるいは、言葉は悪いが「疑い深いこと」がとても重要な資質ではないかと考えた。不正アクセスの手法がますます巧妙になっている現状、あるいは社内からの情報漏洩が後を絶たない実態を考えると、「仮に・・・だったら」と少しでも想像力を巡らしてみたり、社員の行動には常に疑いの目を向けたりする必要がある。
しかし、そうは言っても想像の範囲には限界があるし、個人差は大きい。そう思っていたところ、ある講演で、セキュリティを専門とする大学教授と電力会社の社員のやりとりを興味深く聞いた。この教授によると、電力会社の担当者に「万が一、電力供給が止まったときのバックアップ体制はどうなっているのか」を訪ねたところ、「電力の供給が止まることなどあり得ない」と断言したのだとか。その直後に起こったのが、2006年夏の江戸川の架線切断による首都圏の大規模停電だった。確かに、これは想定外の事故だったのかもしれないが、現実に起こってしまった脅威である。
それでは、個人の想定範囲を広げるにはどうすればいいか。米国のように人材流動が活発な社会では、個人の転職を機に他社の経験やノウハウが伝播することもあるだろう。しかし、日本ではその伝播はなかなか起こりにくい。
今回の特集の取材で得た答えの1つが、組織の中、そして組織を越えた人的なネットワークである。一般にセキュリティ関連の情報は組織の外には出にくいものだが、ここにきて内容に応じて共有しようという動きがある。当然、相互の信頼関係がなければ情報交換はできないが、いくつかのコミュニティが機能し始めている。
例えば、組織内におけるセキュリティ対応チームによる連絡組織「日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)」が今年3月に発足、参加チーム間で情報交換を始めている。このほか、セキュリティの専門資格であるCISSP(情報システム・セキュリティ グローバル・プロフェッショナル認定資格)の取得者のネットワーク、あるいは情報セキュリティ大学院大学やカーネギーメロン大学日本校のようなセキュリティ専門学校の卒業生によるネットワークも、企業という枠を超えた交流といえるだろう。
こうした人的なネットワークは、セキュリティ関連の最新情報やノウハウを共有する場、あるいは、対策の妥当性を確かめ合う場として利用されている。個人の情報収集能力の限界や体験不足を組織化によって補うわけだ。こうした人的なネットワークの構築が万能とは言えないが、単独での取り組みに比べると大きな前進である。こうした取り組みが、セキュリティ活動の底上げになることを期待している。
