『ITリスクの考え方』

体系立っていてよくまとまっていた。情報セキュリティに関心をもっている人でなければ分からない説明も幾つかあるが（公開鍵暗号やマネジメントシステム）、おおむね重要な点を押さえつつ平易に説明されている。僕のように企業の情報セキュリティマネジメントを担当している人が読んでも、色々と気付かさせることがあった。

例えば、佐々木氏が提唱している「ITリスク学」では「リスクコミュニケーション」が「リスクマネジメント」や「リスクアセスメント」と共に掲げられているが、リスクコミュニケーションが果たすべき役割の一つに、対立するリスクどうしをさまざまな基準に照らして評価し、意志決定に携わる人たちの合意形成に向けて調整するというものがある。企業に限らず、情報セキュリティマネジメントを運用する場では、機密性や完全性を高いレベルで保とうとすると、多くの場合に利便性は下がる。全ての社員がカードキーを管理しなければならなかったり、業務でクライアントから預かったファイルは全て社内のファイルサーバに保管したり（自宅作業が禁止される）、一般社員の印象としては「これで情報資産をしっかり運用できる」というよりも「仕事がやりにくくなる」というイメージの方が強い。

誤解がないように申し添えておくと、ウェブ構築・制作の業界は情報セキュリティマネジメントを運用すべき本場であるように見えるかもしれないが、実態は専門学校や大学で情報セキュリティを殆ど教えられていない人材が数多く就職してくるし（専門学校や芸大で教えているところがあるなら、逆に教えてほしいくらいだ）、他業種からの転職者もおおむね無知に近いと言える。つまりは、ウェブ制作プロダクションの従業員は情報セキュリティに関して素人と変わらないのである（素人と変わらないのがそれだけならまだマシであるが）。

さて、リスクコミュニケーションが必要となる対立点の一例として、本書では以下のように述べられている。

セキュリティ対策のための暗号化やデジタル署名のための公開鍵証明書というものを利用するが、ここに書かれた、住所や生年月日が、個人情報の流出につながるとの指摘もある。また、第三者からの脅威に対するセキュリティ対策として暗号化メールを許すことが、個人情報の流出のチェックを不可能にする場合もありうる。（p.167f.）

なるほど、この指摘は確かにそうだ。例えば当社の場合、公開鍵を生成して運用しているのは僕だけだが、仮に電通さんや博報堂さんが暗号化メールでの通信に対応してくれるとして、社員が個別にメールを暗号化していると、そうでなかった従来のメールなら、Cc: で送られてきたメールをこちらで見て「おい、FTP のパスワードを平文で送るな（送信させるな）」といった指摘ができたのに、それができなくなる。当然、社内から個人情報や機密情報がクライアントに漏れていても、個々の従業員のマシンで暗号化されてから LAN を通るので、Wireshark のようなパケットモニタリング・ソフトでも中身を確認できない。

それでも当社にメールを暗号化する必要があって、クライアントも暗号化メールに対応しているという条件があれば、知らないあいだに情報が漏洩するのを防ぎつつメールの送受信を暗号化するためには、どうすればよいだろうか。まずメールの暗号化については、一人一人のディレクターにメールを PGP ソフトで暗号化させるには、メールを暗号化する意義を説明するところから初めて、Windows/Mac ではどのようなソフトがあり、公開鍵を生成するには・・・と、町内のパソコン教室同然の雑用を情報セキュリティ担当者が負うことになる。専任ならできるかもしれないが、９割を越える圧倒的多数の企業では専任の情報セキュリティ担当者などいないので、経営陣のコミットメントと併せて何らかの牽制材料（譴責から減給・解雇に至る懲罰を含む）がない限り、全社で個々に暗号化メールを送受信させるのは不可能に近いようにも見える。もちろん、恐怖だけではインセンティブにならないので、なんらかの賞罰の「賞」も必要だろう。つまり、それらを合わせると、要するに個々の企業が従業員の人事考課をまともにやれば済む話なのである。

だが、上記の引用にあるとおり、個別に暗号化メールを送受信させると情報セキュリティマネジメント担当者がメールの内容を確認できなくなる。いや、会社で送受信されている全てのメールを個別に見ているような人間はいないが（当然、僕もそんなことをするほど暇ではない）、フォレンジックの目的で「ログを見れば分かる」状態にしていなければならない。すると、残る手段としては社内にメールサーバを設置して、それを暗号化のアプライアンスサーバとして運用するということになるだろう（ちなみに、WAN 側に出る前に暗号化しなくては意味がないから、メールサーバを社内に設置するのである）。こうすると、個々の従業員がメールを暗号化する必要はないので面倒はなくなるし、メールは暗号化されて送信されるから、相手も暗号化に対応している限り機密情報が途中で第三者に漏れるリスクも減る。メールが社内ネットワークをメールサーバまで通っているあいだは暗号化されていないので、途中の経路で内容を読める状態でログに残せる。

さて、最適解はこのような考察ではっきりすると思うのだが、このような分析やバランスの調整には、やはり決定的な限界がある。佐々木氏が述べるリスクコミュニケーションは、そういう限界を超えるためにあると言ってもよいだろう。なぜなら、そのようなアプライアンスサーバを導入するための稟議（言っておくが、会社の規模に依らず何万とか何十万のオーダーで導入できる代物ではない）は、通る会社の方が少ないからだ（笑）。もちろん、固定の IP アドレスをプロバイダから割り当ててもらっていれば、適当に見繕ったマシンでメールサーバを構築することも可能だ。加えて昨今は「オープンでフリーな文化が主流」らしいので、ソフトウェアのついでに我々情報セキュリティ担当者やシステム技術者の休日出勤手当や残業手当も無料になるよう、経営者のみなさんは彼らの自尊心をくすぐってみたり、誰にも反論できない類の建前を叫んでみたりするのもよいだろう。