コントロールに見る情報漏洩の問題
「危機」とは何か。山のようにある。地震、雷、火事(天災)に始まり、システムや商品、サービス起因するもの、ハッカーなどによる企業へのサイバー犯罪、情報漏えいといった企業組織のの過失、株主代表訴訟などの経営上の事件、さらにはウイルスの猛威などのグローバルリスク……数え上げれば切りがないだろう。その無数に存在するリスクに対し、企業は可能な限りにおいて予防措置や軽減措置を取らなければならないのである。
しかし、リスク(企業が犯す過失、遭遇する不幸なアクシデント)は、いかなる組織であっても完全に回避することはできない。それどころか、実際には小さいリスクであれば、どの組織も――気づいている否かは別として――日常的に遭遇している。無数に存在するリスクを企業はどのように管理していくべきなのだろうか。
危機管理の古典的な手法は、遭遇すると予期される危機を「頻度」と「重度」でランク付けし、「頻度×重度」が最も高いものを「重大危機(クライシス)」として、優先順位の高いものから対応策を決めていくという考え方である。しかし、そのようにして予測される危機が企業の存続を揺るがすような重大なクライシスなのであろうか。本当に恐ろしい危機とは何だろうか。
私の専門分野は、情報セキュリティの漏洩対策です。漏洩対策をしていると「あれ?」っと思うことが多くあります。情報漏洩の情報は、漏れるまでは見えてわからないからです。リスク対策にしても、それを「問題として認識できなければ」問題でないのです。リスクなんて、こんなものではないでしょうか?
私の漏洩対策における定義は、リスクを未然に出来る予防対策、クライシスは問題が起きてしまった後の事後策と考えています。
情報漏洩の場合、情報がある以上は、「必ず漏れる」ものです。当たり前のように聞こえるかもしれませんが、ない情報は漏れようがないですね。
日光東照宮の「見ざる・聞かざる・言わざる」であれば、見てない(データ)・聞いてない(会話)だから、言えない(漏洩しない)のです。しかし、実際には”そんなこと”はありません。こんなことをしていたら、仕事にならないですね。
この例えは、満員電車の中で痴漢に間違われないように、両手でつり革を持ったりするようなものです。見なくとも、知らなくとも良い情報であれば、コレは有効です。見てしまう責任や聞いてしまう責任ってものがあるのです。日常の中で使える場面は、多少なりともあるはずです。
リスクとクライシスは、以下に・・・
情報漏洩の漏洩元と漏洩先を、内側と外側でわけたものです。この左側をリスク、右側をクライシスと定義してます。
漏洩では、いきなり外側に出るモノはありません。必ず内側からでます。それは、ウィルスとワクチンの関係のように、ウィルスが先に出現し、それに対抗する更新ファイルのワクチンが出る。ものと同じです。
水色の左側は、事前に対策の出来る部分です。赤色の右側は、漏洩後の話です。
このコントロール出来ること。これをしなければ、コントロール出来ないことしか選択肢はありません。それも漏洩後に。
それでも漏れるのです。なにもしなければ、その発生機会が増えます。
コントロールできることを、していれば発生機会は相当減るのですが、コントロールは技術対策だけで十分!ではありません。
啓発も合わせて行わなければ、コントロール外になっていまいます。
もっとも強力な味方になる「人」は、とっても危険な「うっかり」をしてしまうものです。コントロール出来ることだけは、お願いします。