これまで、多くの企業がこうした事故を起こし、同じような対応をしています。しかし、事故がなくならないばかりでなく、事故後の対応も、私などから見れば、まったくといっていいほど進歩がみられません。
その原因はひとつです。企業が、こうした事故が起きるという前提に立ってものごとを考えられていないからです。
面白い話があります。ずっと以前から、専門家の間では、情報セキュリティ事故の際の対応訓練といったものの必要性が言われてきました。ある時、とある企業の情報セキュリティ責任者が、経営者にこうした訓練を提案したそうです。そのときの経営者が言ったとされる言葉が、日本企業の現状を物語っているのです。「なぜ、そんなことをしないといけないんだ。そういうことが起きないようにするために、君に給料を払っているんだぞ」・・・と。
たしかに、事故は起きてはいけないことです。そのための予防手段を考えることは重要です。しかし、そこに人がからむ以上、ミスや故意、想定不全による事故は必ずと言っていいほど発生します。予防対策がしっかりしていればいるほど、何か起きた時は重大なものになりがちです。予防対策で、些末な、もしくはある程度の事故が発生する頻度は大きく下がります。しかし、とりわけ、故意や対策が想定していなかった原因による事故が相対的に大きな比率を占めるようになるわけです。それを考えれば、どれだけしっかりした対策を考えていても、事故の可能性は捨てられません。まして、一旦発生してしまえば、ビジネスをゆるがす問題に発展しかねないわけですから、発生した場合、どうして影響を最小限に押さえ込むかが重要になってきます。
海外のセキュリティコンファレンスに行くと、必ずと言っていいほど、リスク管理のトラックに、こうしたインシデント対応を考えるセッションがあります。先日、シンガポールで開催されたRSA ASIA PACIFICコンファレンスでも、「情報漏洩事故を起こした後、いかにして信頼を回復するか」と銘打ったセッションがありました。こうしたセッションでは、共通していくつかの「原則」が語られます。
・コミュニケーションの原則
被害者がいる場合、その人たちへの連絡とケアを最優先すべきである。事態が公になる前に、被害者との間でコミュニケーションが必要な場合(そうしないと、被害者にさらなる被害や苦痛を与えるような場合などがあるので、公表タイミングは慎重に行うこと。
コンプライアンス上、当局への報告などが必要な場合は、迅速に実施すること。また、捜査機関等の関与が必要な場合は、早い段階で連携を開始すること。
・延焼防止とビジネスの維持
問題がわかっている場合、ただちに問題箇所に対して応急処置を行うこと。但し、その処置によって、原因究明や証拠収集に影響が出るような操作は回避すること。
同種の問題が他で生じないかどうかを迅速に確認すること。また、そうした可能性のある部分に対して応急措置を講じること。
その上で、業務やサービスの変更、停止が必要な部分について、優先度の高い部分から対応していくこと。やむなく業務、サービスを継続せざるを得ないという経営判断はありうるが、その場合、新たな問題が生じないか厳重に監視、管理を行いつつ継続すること。
このほかにも様々な原則が語られますが、こうした原則の多くは、事前の準備がないと実行できません。シナリオに基づいて、体制や対応方法を十分検討し、関係部署や関係者に周知しておく必要があるのです。そのためには、こうした事故がありうるという前提に立つ必要があるのです。
企業の情報セキュリティ責任者の仕事は、第一義的には、こうしたインシデント発生を未然に防ぐことにあるわけですが、本当に手腕が試されるのは、こうしたインシデントが発生してしまった時です。いかに迅速に対処し、様々な被害を最小限にとどめられるかが問われます。そういう意味では、日本企業の情報セキュリティ担当者は、まだその仕事の半分しかこなせていないのかもしれません。
競争が激化するビジネスにおいて、勝ち残っていくためには、どんどん新しいことにチャレンジしていくことが必要です。たとえば、市場を広げるためには、これまで避けていた、リスクの高い取引を行う必要も生じます。このような場合、ビジネスの世界では、たとえば、貸し倒れやキャンセルなどの発生を想定しつつ、それがビジネス全体を脅かさない方策を考えます。それがビジネスを成功に導くリスクマネジメントなのです。そして、これは、情報セキュリティやITの世界でもまったく同じです。リスクを抑えながら、どのようにして新しい技術を取り込んでいくか、それがこれからのITに求められることであるならば、様々なインシデントの発生を前提とした取り組みが必須だと言えるのではないでしょうか。
0 件のコメント:
コメントを投稿