【連載リレーコラム】
「リスクコミュニケーションのススメ」
(JNSA理事 NTTデータ株式会社ビジネスソリューション事業本部 部長 西尾 秀一)
近年我が国は、東日本大震災級の大地震、ゲリラ豪雨や竜巻などの風水害、懸念される富士山の噴火などの自然災害や、福島第一原子力発電所の問題など、一自治体や一企業の危機管理能力を超える事態に対する備えや対応が必要となっています。このような状況下では、「いざとなったら国や行政が助けてくれる」という考えから、「自分たちの身はある程度自分たちで守る」という考えをより強く持つ必要があります。
いざという時にこのような自助能力を最大限に発揮するためには、普段から国や行政、専門家、関係企業、一般市民らが、起こりうるリスクについて、情報交換や意見交換を行い、リスクに対する意識を高め、協力体制を構築しておくことが大切です。このような、意識共有や情報共有は、リスクコミュニケーションと呼ばれています。例えば、ある地域に新しく化学工場を建設する場合に、扱われる化学物質に関する適切な情報提供や地域住民との対話を行うことによって、化学物質の環境リスクに対する住民の正しい理解を得たり、住民の不安をできるだけ取り除く活動がこれにあたります。
ちょっと大げさな話をしましたが、このリスクコミュニケーションという考え方は、実は現場レベルの情報セキュリティ対策にも有効であると考えます。
毎日のように個人情報漏えい事故やいわゆるサイバー犯罪に関するニュースを目にしていますが、それがよほど身近な出来事でない限り、自分の業務とはあんまり関係ないと考える人も多いのではないでしょうか。昨今はどこの会社でも、それなりにセキュリティ対策を実施しているでしょうから、会社から指示されているセキュリティ対策を何も考えず実行していれば大丈夫なはずだ、と考えても仕方ないように思えます。しかし、この「何も考えず」ということが実は大変に危険だということに気付く必要があります。
情報セキュリティの基本は、自分が扱っている情報・データ・資産(言い換えれば、自分が守るべきもの)の「価値」を認識し、その価値を失うことになるかもしれない可能性について考え、意識を払うことにあると言うことができると思います。お仕着せの対策を何も考えずに実行していると、この守るべきもの価値について考える機会が失せてしまい、いざという時にその価値を維持するための適切な行動ができない可能性が高くなります。
例えば、小さなお子さんがいらっしゃる方であれば、保育園や幼稚園を選ぶ際に、お子さんに降りかかるかもしれない危険性についてあれこれ考え、周辺の環境はどうか、建物の耐震性はどうか、先生の人柄はどうか、けがをしそうな遊具はないか、送り迎えのバスは安全そうか、などいろいろチェックをされるのではないかと思います。この、自分の大切なものを守るために「考える」という行為そのものがセキュリティのもっとも根源的な対策であると言えるのではないでしょうか。この保育園・幼稚園の例で言えば、お子さんを預かる保育園・幼稚園側とお子さんを預ける親御さんが、園児に係る様々な危険について普段から意見交換や情報交換を行い、いざと言う時の役割分担や親御さん同士の協力体制を話し合っておくことで、万一の際の対応を素早く、的確にできる可能性が高まるわけです。
このようなリスクコミュニケーションには今のところ確立された手法はありませんが、現場レベルの情報セキュリティにおけるリスクコミュニケーションのちょっと面白いやり方をご紹介しましょう。
10人ぐらいのチーム単で実施することを想定します。
(1)チームリーダは、各メンバに対して、現在の業務の中でもし自分が悪意を持ったらどんな損害を会社に与えることが可能かという事象を3つ〜5つ程度挙げさせます。チームリーダ自身も挙げてください。
無記名で構いません。
その際、できる限り具体的に、いつ、どのような状況ならその行為が可能かを記述してもらうことがポイントです。「21時以降なら」とか「セキュリティ機能をオフにして」とか「Aさんと結託すれば」など具体的な手段、手口がわかるような記述をしてもらいます。
ここで3つも挙げられないという人が出てくるかもしれませんが、そのようなメンバは、普段セキュリティについて何も考えていない人ですから、悪意を持たなくても、うっかりミスを起こす可能性が高い人かもしれません。
(2)挙げてもらった各事象について、第三者からいくらでそそのかされたらその行為を実際にやってしまうかもしれない、という金額を記入してもらいます。「いくら積まれてもやらない」という人もいるかもしれませんが、できる限り想像してもらってください。
(3)チームリーダは、各メンバが記述したものを集めて、全員に配布し全員で読み合わせと意見交換をおこなってください。自分では気付かなかった事象を認識してもらうことと、その行為が会社や自分に与えるインパクトを考えると「割に合わない」行為かもしれないというような観点から議論してもらうと良いでしょう。
(4)次に、全員が挙げた事象の中から、現在のセキュリティ対策や業務で改善すべきところがないか、役に立っていないセキュリティ対策がないかという観点で議論をしてもらってください。チームリーダは必要な改善を実施するか否かを判断してください。
(5)最後にチームリーダから、挙げられた事象のような事を起こさないよう、メンバへの意識付けをしましょう。議論の結果をまとめ、全員の署名をして残しておいても良いと思います。
このリスクコミュニケーションのポイントは、普段あまり考えた事がない、「自分が悪意をもったら」という観点でチームメンバと意識共有、情報共有を図ることにあります。このようなリスクコミュニケーションを実施することで、内部犯行を思いとどまらせるきっかけとなることも期待できます。また、挙げられた事象については、万一セキュリティインシデントが発生した場合の手口の解析に非常に有効な手掛かりとなるはずですので、会社の中のセキュリティ管理部門でまとめて管理しておくとよいでしょう。
社員のセキュリティ教育に手詰まり感がある皆さん、ぜひお試しください。
セキュリティについて「考える」よい機会となることを願っています。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。
【ワーキンググループ便り】
★来週の部会・WG会合スケジュール
メンバーの方はご参加をお願いいたします。
9/17(火)
16:00〜 第3回理解度チェックWG(JNSA3F)
9/18(水)
16:00〜 第4回組織で働く人間が引き起こす不正・事故対応WG(JNSA3F)
18:30〜 第12回情報セキュリティ対策マップ検討WG(JNSA3F)
9/20(金)
10:00〜 第6回社会活動部会(JNSA3F)
16:00〜 第4回アイデンティティ管理WG(日本マイクロソフト品川本社)
★部会・WG予定
その他、活動スケジュールはこちらをご覧下さい。
https://www.jnsa.org/aboutus/schedule.html
-----------------------------------------------------------------
JNSAの部会・WGは会員企業の方でしたらどなたでも参加できます。
参加のご希望がありましたら、JNSA事務局までお気軽にお問い合せ下さい!
-----------------------------------------------------------------
【事務局からの連絡、お知らせ】
★JNSAのホームページをリニューアルしました。
公開資料・報告書等が探しやすくなりましたのでぜひ一度ご覧下さい。
https://www.jnsa.org/
★SECCON(Security Contest)2013は10月に福岡・長野・香川で地方
予選大会を開催します。近日中に参加申し込み受付を開始予定です。
http://2013.seccon.jp/
★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願い致します。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第18号
発信日:2013年9月13日
発行: JNSA事務局

*************************************