Scribble at 2024-07-01 21:53:09 Last modified: 2024-07-01 22:02:35

佐々木良一氏が提唱する「ITリスク学」というコンセプトには、従来の情報セキュリティにおける機能障害や通信を介した攻撃といった攻撃ベクトルだけではなく、もっと多くのケースを想定した事象が関わる。そもそもリスクの概念を構成している脅威という要素を外部からの攻撃だけに限定したペリメータ・モデルですら、ずいぶんと前から古いと言われていて、いまでこそ「ゼロ・トラスト」などと言って内部犯行の可能性も考慮するのが当然となっているが、これについても「ITリスク学」の観点から言えば視野狭窄の感があると言わなくてはならない。なぜなら、それらはいまだに「内部犯行」とか「攻撃ベクトル」などと言って、被害を意図的に引き起こすようなアクターや動機づけというメンタル・モデルしかもっていないからである。現実には、多くのセキュリティ障害というものは、要するに従業員の作業ミスや勘違いなどから引き起こされる場合もあるし、もちろん自然災害や機器の故障なども原因となりえる。

僕が弊社の情報セキュリティについて、実務側のトップとして ISMS やプライバシーマークに準拠した社内規程の策定やマネジメントに携わってきて実感しているのは、やはり情報セキュリティを維持したり向上させるには、(1) 個々の当事者が納得できる動機づけや習慣をもち、(2) 正確かつ体系的な知識をもつ（僕がそうだとは言わないまでも）専任の人材がマネジメントを統括し、(3) そして十分なトップ・マネジメントのバックアップがあることが必要だ。これらについては一つずつ説明する機会もあるかと思うが、とりあえず上記のサイトに関連した (2) について書いておくと、僕は情報セキュリティや個人情報保護という社内施策について、労働安全衛生の考え方や生産管理の考え方、つまりは工場で物品を製造する際のオペレーターなどが想定されている安全管理やリスク管理の考え方を、ウェブ・コンテンツの制作やネット・ベンチャーという事業・業務についても当てはめようというアイデアを導入している。もちろん、ウェブ・ページのコーディングをしていて頭からトンカチが落っこちてくるなんてことはないし、オンライン・サービスの管理画面を操作しているヘルプデスク担当者が指を切断するリスクなどというものはないわけだが、労働安全衛生における作業ミスの削減というアイデアや、生産管理の観点でみた品質管理（歩留まり）というアイデアは、ウェブ・コンテンツの制作やオンライン・サービスの運営においても役立つ考え方や注意点があると思っている。

たとえば、ノート・パソコンをぞんざいに扱う人々にどう接するかという課題は、色々な事情でバック・オフィスに関わりがある。故障すると総務、経理、財務の問題が起きるし（修理するコスト、修理しているあいだの代替マシンを用意するコスト、あるいは買い替えるならその調達コストとか）、もちろん可用性が低下するという意味で情報セキュリティの問題にもなる（とは言え、使えないデータをわれわれが代わってどうにか手品のように生み出せるわけではないが）。こうしたリスクが高まらないためには、ノート・パソコンというかパソコンがそもそも精密機器であり、ビジネス・パースンなどと格好をつけて業務机にノート・パソコンを投げ出すように置くといった愚行をするものではないということを、社会人の常識として教える必要がある。もちろん、そんなことを部門長が率先してやらないように、僕のような事実上の「ファウンダー」待遇の人間が、敢えて年齢や地位という権威を使って有無を言わさずに命じる場合もある。だが、もちろんこんなことをガミガミと言っているだけのジジイに耳を貸す人はいないわけで、説得力をつけるためには、たとえば僕のノート・パソコンは７年ほど使っているという事実を伝えたり、それは何も僕がチューニングできる知識や技量をもっているから（だけ）ではないという、運用上のヒントなども合わせて啓発していく。そして更に、馬鹿げた扱い方をしたせいで故障した場合には、たとえ部長職の者であろうと、僕の権限で備品扱いの古いマシンを使ってもらうといったペナルティを与えている。工場での生産設備の取扱いという観点を導入すれば、ウェブ制作の会社でも設備を整備したり管理するにあたって役立つことも多々ある。