皆さん、高信頼性組織(HRO:High Reliability Organization)というものをご存知でしょうか? 2006年にJPCERTから研究成果が発表されていますが、原子力発電所や航空管制などの、失敗があってはならない、失敗があると大きな事故につながる組織のことをいうそうです(http://www.jpcert.or.jp/research/)。
この研究成果によると、高信頼性組織を維持するために簡単な「やり方」があるわけではないことが分かります。しかし、その組織の特徴を見ると、情報セキュリティ対策に必要であると言われてきたことが多く含まれていることに気付きます。
例えば、事故にならなくとも事故につながるところだった「ヒヤリ・ハット」事例を報告するとほめられる、ヒヤリ・ハット事例から「なぜそうなった」や「どうすれば防げるか」を徹底的に考えて対策をする、事故そのものよりも事故を隠蔽すると厳しく処罰される、など情報セキュリティマネジメントで「こうあるべき」ということが当たり前のように挙げられています。
ハッとすることは、我々情報セキュリティの専門家は高信頼性組織を求めている、ということなのです。ここに大きな落とし穴があるのではないでしょうか。
一般の組織は当然ながら高信頼性組織ではありません。個人のモチベーションも組織のマネジメント力も、そして、コストも一般企業と高信頼性組織では全く違います。そのような一般の組織に対して高信頼性組織のマネジメント方式や個人のセキュリティに対するモチベーションの向上を目的とした教育を行ってもマッチしないのです。
ましてや経営そのものが手一杯で、言い換えれば、少々のリスクは覚悟の上の中小企業では高信頼性組織の論理を持ち込んでも受け入れられないのは当然のことです。実際、大企業であってもいまだに「セキュリティ対策は十分に行われているとは言えない」と考えているのではないでしょうか。
これはそもそもの企業文化と求めている高信頼性組織の組織マネジメントがマッチしていないからで、本来であれば企業文化そのものを高信頼性組織並みにしないことには、情報セキュリティの部分だけを高信頼性組織並みにすることは所詮できないのではないです。
つまり、我々は実現することのないマネジメントのあるべき姿を目指しているかもしれない、ということなのです。仮に高信頼性組織並みの企業文化を達成できたとして、そのときに果たして現在の経常利益を確保できて、企業競争力も維持できているかといえば、それは成し得ないことだと思います。
一般の企業においては、その企業文化に適合したマネジメント、いわば「身の丈のセキュリティ」を目指すべきであり、情報セキュリティだけを原子力発電所のオペレーションルーム並みにしようとすること自体が大きなコストや生産性の低下、結局事故は起こる、というようなことにつながってしまうのです。
一方で、はじめから身の丈を目指さずに、情報セキュリティや内部統制などをきっかけにして企業文化そのものを底上げしようとする試みは賞賛されるべきですが、一度始めたら永続的に持続しなければならない、という覚悟も必要です。多くの企業で、そのときだけの「やる気」で取り組んで、その後はなし崩しに元に戻る、という現場を見てきました。
セキュリティの話になると「完璧じゃないなら意味がない」という結論になりがちですが、できないものにチャレンジすることよりも現実に即したマネジメントの方が効果があるものです。
マネジメントはそこそこであっても、これまで本コラムで述べてきたように、セキュリティシステムの工夫でローコストでハイレベルなセキュリティは実現できます。
現実的で長続きするセキュリティ文化、セキュリティシステムの構築・運用への見直しの時期が来たように思います。
