最近、政府関連機関から尖閣諸島沖での中国船衝突事故の映像流出があったり、捜査情報の改ざん問題があったり、立て続けに大きな情報セキュリティ事案が発生しています。そのいずれにも共通する課題が「情報管理」です。

 現在進行中のこれらの事案がどのように推移するかはまだ分かりませんが、いずれにしても「操作記録から速やかに解決」できているようには見えません。そもそもの情報セキュリティ対策の状況は厳重ではなかったことをうかがい知る事ができます。

 これらの内部犯行(と思われるインシデント)に備えるためには「セキュリティポリシー」という「禁止が主体のルール」では対応できません。「我々はまじめであり決められた規則は守る、ということになっている」というような建前論では対策しているとはいえません。

 また、日本ではありがちな「関係者を厳格に処分して周知徹底を図った」というのも事後対策にはなりません。

 情報セキュリティのセオリーとして「情報に機密性などを設定」した上で「厳格なアクセス制御」を施す必要があります。しかし、それが「規則は守るはず」「我々には悪人はいない」という建前を持つ内部関係者の場合には、おろそかにされがちなのです。「内部関係者を疑うことはしにくい」という日本独特の文化がそうさせているのだと思いますが、これからはそうも言っていられない世の中になってきたのでしょう。

 特にアクセス制御については、日本は政府機関も一般企業も欧米に比べて遅れているように思います。物理的な立ち入り制限区域の制限も部分的であることが多く、組織全体としてきめ細かく立ち入り区域制限が行われていることは多くはありません。

 物理的なアクセス制御がそうである以上、当然ながらネットワークやコンピューターのアクセス制御も同レベルあるいは、それ以下であることが推し測られます。ここでいうアクセス制御とは、情報に対して必要な人間だけに閲覧や変更などの権限を適切に付与することを指します。

 アクセス制御だけでは正当な権限を持ったユーザーが情報を持ち出したりすることを防げませんから、アクセス履歴を取得することになります。アクセス履歴はサーバーだけで取得していたのでは「本当は誰だったのか」は分かりませんので、操作する端末側でも操作ログを収集しサーバーに「安全に」蓄積する必要があります。

 このようなことは情報セキュリティの世界では当たり前のセオリーなのですが、現実的には、先の物理セキュリティの例にもあるように文化として浸透していないのが現状なのではないでしょうか。

 これまでにこのコラムでも書いてきたように、「形だけの」「やっているはずの」セキュリティが見直されるべきなのです。人間が最後は守る、という考えもありますが、最後は人間が破る、というケースもあるのです。従って、できる限り自動的にシステムとしてセキュリティは実装されるべきであり、そのセキュリティシステムの設計と構築、運用について一から考え直して再構築する必要があると考えています。

 クラウドやスマートフォンへの対応も含めて考え直す必要がありますし、新しいセキュリティ技術についても採用を検討すべきでしょう。コストと利便性と安心安全を実現するためには過去のセキュリティ対策を再構築する必要があるのです。

 組織内でアクセス制御が適切に行われていれば内部犯行が行われる確率は減ります。つまり、それこそが身内から犯罪者を出さないことにもつながるわけですから、本当に組織を守りたいというのであればこそ、内部犯行と向き合ったセキュリティ対策の再構築が必要になるものと思います。

 私は講演ではよく温泉旅館の例えを出すのですが、古い温泉旅館が増改築を繰り返してもいつかは新規に立て直した方がよい時期が来るのです。セキュリティ対策については「防ぐ」に重点を置いてきたこれまでの対策から「情報管理」という観点での対策に大きく転換していくときにきていると感じています。

 情報管理のためには、情報の流れそのものを制御、管理、監視することになりますから、もし情報漏洩があっても速やかに原因究明できますし、被害を最小限にすることができるのです。