大谷翔平に見えるリスク管理
佐藤@IT雑貨屋です。
今回は少しミーハー的な内容ですが、昨今騒がれているドジャーズの大谷選手と水原氏の騒動を元にして、今回はリスク評価について記事にしてみたいと思います。前の記事でリスクアセスメント(リスク分析)について書きましたが、今回の大谷選手の事件というのは、明確に情報セキュリティインシデントによる事件です。
情報資産が持つ、リスク、脆弱性、脅威とは、具体的にどの様なものなのか。ここは情報セキュリティに取り組む際には、理解しておかなければならない事なのですが、では具体的にどの様に考えなければいけないかを理解する事は、結構ハードルが高く感じています。言葉は先行するのですが、実際に作業に取り組む人の認識や理解が追いついていないケースがあるという感じでしょうか。
そこで今回の大谷選手と水原氏の事件をサンプルにして、この事を少し考えてみたいと思いました。お時間のある方はお付きあい下さい。
◆リスクと脅威、そして脆弱性
まずは単語の整理から。
リスク:事象の発生確率と事象の結果との組合せ(JIS Q 27002)
上記の言葉はJIS規格書に規定されている事で、これだけ読むと「何じゃらほい?」
となりますが。前に書いた記事では次の言葉として紹介しました。
「リスクとは、まだ発生していない事ですが、もしそれが発生した場合に、情報資産
に影響を与える事象や状態の事を指します。」
つまりその情報資産が持つ危険性で、その危険性が発生した場合にどの様な影響を
与えるのか。それがリスクです。
脅 威:システム又は組織に損害を与える可能性があるインシデントの潜在的な原因(JIS Q 27002)
リスクでは「発生した場合」を考えますが、脅威とはその発生の下となる原因の事
をさすわけです。
脆弱性:一つ以上の脅威がつけ込むことができる,資産又は資産グループがもつ弱点(JIS Q 27002)
脆弱性とは、その情報資産が原因を引き起こす情報資産の弱点をさします。
◆今回の事件の情報資産
今回の事件とは「ドジャース大谷翔平の元通訳・水原一平容疑者が大谷の銀行口座から預金を盗み違法賭博の胴元に送金していたスキャンダル」という事で、つまり銀行口座のアカウント情報が水原氏が窃用した結果、今回のインシデントとなったわけです。そういう意味から情報資産としては「銀行口座のアカウント情報」という事になります。
ではこの「銀行口座のアカウント情報」には、どういったリスクが存在していたのか、後付けの様にも見えますが、少し考えてみたいと思います。
◆リスクの特定
本来、銀行口座のアカウントというのは、当たり前ですが、極めて限られた人物にのみ開示されるものであって、広く開示されるべき情報ではありません。大谷選手にしても、この情報は限られた人物のみに開示されていたのですが、今回はその限られた人の一人「水原一平氏」が、この情報を窃用した事でインシデントとなってしまいました。つまり今回の場合には、「銀行口座のアカウント情報が漏洩・窃用する」というリスク、また「窃用される」という事について、どの様に評価していたのか、そこを考える必要があります。
◆脅威の特定
では今回の「銀行口座のアカウント情報の漏洩や窃用」という事について、どの様な脅威があったのかという事を考える必要があります。
ここで言う脅威というのは、この「限られた人が情報を知りうる」という事について、潜在的な原因としてはその知り得る人が「情報漏洩・窃用」する可能性について考えて、それを評価する必要があるのです。
今回この銀行アカウントを知り討る立場の人物としては、会計士やマネージャ-の存在もあったと言いますが、会計士やマネージャーの信用度は現地アメリカでは極めて高いので、その脅威はとても低いと考えるのは一般的でしょう。また水原氏についても大谷氏がメジャーリーグに移籍した時から、彼に絶大な信用を置いていましたので、先の人達と同様、彼が脅威として存在する事も極めて低く評価していたと思います。ただ今回のミスリードはこの水原氏に対する信用評価にあった訳ですね。
◆脆弱性の特定
今回の事件で、この部分が私には少しわからない部分でした。この「銀行口座のアカウント情報」は、紙媒体(印刷物など)、もしくは電子媒体(メールなど)で開示されたものなのでしょうか。そこが不明です。
確かに水原氏は大谷氏の通訳であり、全面的に彼(大谷選手)の代理人的な立ち位置に存在していました。では水原氏は口頭で受けた情報を完璧に記憶して犯行を実施したのでしょうか。私は恐らく水原氏が犯行を行う際、何かしらの記録された媒体へのアクセスをした事が想定されますので、今回の情報資産である「銀行口座アカウント情報」は、どの様な媒体で、保管状態はどうだったのか、脅威としてその部分をしっかりとした評価をして、必要であれば記録された媒体に対するリスクの特定も検討する必要があったのではないでしょうか。
でも恐らくそういった事も大谷選手周辺の関係者では、既に確認済みであった事だと思います。
私は大谷選手の周辺や、水原一平氏の事について詳細を知り得る立場ではありませんが、水原一平氏へのリスク評価として、彼は現地では「法人並み」の信用度を得ていたのか、そこはどの様に評価されたのか、全てはそこに集約されている感じがしました。
確かに人は個人的な繫がりで人を信用し、そこに全幅の信頼を置いてしまいますが、悲しい事にこの「人が人を信用する」という、多くの人が持つ脆弱性が、過去から常にこの情報資産を脅威に晒す事になってきました。情報セキュリティのリスク管理では、こういった事も個人的な感情も抜きにして、客観的に定量的に評価する事が極めて重要である事が、今回の大谷選手の一連の事件からも見て取れた様に感じました。
人を信用するにも、例え身近であっても客観的に。これはとても世知辛い世の中だとという事なんですけどね。
しかし今回の事件ので、大谷選手の周囲にしっかりとしたリスク管理体制が出来ている事も見て取れました。今回の事件発覚時には、大谷選手本人も実はこの窃用を認知していたのではないかという疑惑も持ち上がり、そこからマネーロンダリングという大きな事件性も噂され始めていましたが、短期間でこの疑念が払拭される様な動きが為され、今では大谷選手も完全な被害者であるという事で落ち着きました。これにより「銀行口座アカウント情報の漏洩・窃用」により発生したインシデントは、拡大せずに水原氏の個人的な犯罪として終息方向に向かっています。
実は情報セキュリティでは、インシデントの発生防止を徹底して検討する活動であると共に、もしインシデントが発生した場合、速やかに被害の拡大を防ぎ、発生した被害を極小化する体制を事前に検討しておく事も極めて重要なのです。
そういう意味では、さすがアメリカのメジャーリーガーの体制は、しっかりしているなと感じました。
以上が今回の大谷選手と水原一平氏の事件からみた、リスク管理の考え方の例です。あまり良く書けていない部分もありますが、このリスク管理の考え方の一助になれば幸いです。