はじめに、8月8日に発生した、日向灘沖を震源とする最大震度6弱の地震により被災された個人並びに事業者の皆様に、心よりお見舞い申し上げる。幸い、被害はそこまで大きくなかったようではあるが、一日も早いご再建をお祈り申し上げたい。なお、この地震によって、南海トラフ臨時情報が発出された。南海トラフ地震のリスクが高まっており、今後1週間を基本として、自主的な避難も含め備えを再確認するようにとのことだ。何とか生き残ろうね。
それにしても、今年は地震が多い。1月1日から能登半島で最大震度7の地震が発生し、数百人が亡くなったことには驚いた。確率論から言えば、1年のどの日に地震が起きたとしてもおかしくないが、1月1日からこれほど大きな被害を伴う地震が起きるとは夢にも思わなかったというのが率直なところであった。また、8月9日には神奈川県を震源とする最大震度5弱の地震が発生し、ほとんど揺れを感じなかったとはいえ、東京でも緊急地震速報が鳴り響いた。
さて、私自身、情報セキュリティについて現在学習を進めており、情報セキュリティに関するコンサルティングを行うことも少なくない。今回の地震について考える中で、防災と情報セキュリティには似ている点が数多くあるということに気づかされた。情報セキュリティのマネジメント(ISMS)においてはPDCAサイクルというフレームワークが用いられるので、これを用いて防災と情報セキュリティの類似点について整理してみたい。
1. Plan:災害ないし情報セキュリティインシデントを想定し、リスクアセスメントを講じたうえで、防災やセキュリティ確保のための方針を立案する。企業の場合には、災害やサイバー攻撃によって影響が生じた際に備えて予め事業継続計画(BCP)を立案することで、業績に与える影響を最小限に抑えることが可能である。
2. Do:対策の実施や教育を行う。防災であれば、避難訓練や非常用グッズの確保などがこれに該当する。情報セキュリティであれば、ファイアウォールやウイルス対策システムなどの技術的対策、入退室管理やセキュリティワイヤによる盗難防止などの物理的対策、マニュアルの策定やセキュリティ教育などの人的対策がある。
3. Check:対策の監視や評価を行う。学校で行われる防災訓練や会社で行われる標的型攻撃メール訓練はどうしても形だけの訓練になりがちであるが、「滞りなく教育・訓練を実施したのだからそれでよし」という事なかれ主義で終わらせてはならない。ここで大切なことは、評価項目を設定し、KPIマネジメントを行うことである。また、第三者の視点を入れて評価を行うことも有効である。情報セキュリティという観点であれば、情報セキュリティ監査だ。
4. Action:態度や思考の変容、ポリシーや規定・マニュアルの更新、次なる目標の設定等に向けて、主体的に危機対応上の問題点や課題を見つけ出し、改善に結びつける。
このように、災害対策も情報セキュリティマネジメントも、事前の準備によって被害を最小限で食い止めることができるようになるという点や、その対策としてハードとソフトの両方の観点が欠かせないこと、「何もなかったからそれでよし」とはせずにPDCAサイクルを適切に回し続けること、技術や設備などのハードと教育や啓発などのソフトの両面から検討することが必要であることなどが共通しているといえる。
ところで、読者の皆様は、情報セキュリティ対策において、技術的対策、物理的対策、人的対策のどれが最も重要だと思うだろうか?多くの方が情報セキュリティと聞いてまず思い浮かべるのは、おそらくハッカーやウイルスなどではないだろうか。もちろんこうした被害が後を絶たないのは事実である以上、技術的対策の重要性については疑問の余地はない。だが、そこは情シスに任せておけばよい。それに、実際に発生した情報セキュリティインシデントの多くは、紛失や置き忘れ、誤操作、クラウドの設定ミスといった人為的なミスに起因している。だとすれば、企業における情報セキュリティ対策は、まず情シスがしかるべき技術的対策や物理的対策をとったうえで最後にはやはり個々の社員レベルでの人的対策が肝になるといえるはずだ。
防災についても同じことが言えるのではないだろうか。いくらダムや堤防を建設したところで、台風接近時に田んぼや川を見に行って亡くなる人をゼロにすることはできない。ましてや、堤防があるから大丈夫だろうと油断して、事前の避難を怠る人が出てしまっては元も子もない。株クラでは、災害が起きるたび、「国土強靭化」が投資テーマとして注目されている。だが、一時的に注目されて地震の翌日だけ株価が上がり、しばらくすれば元どおりになるのがオチだ。まるで、技術的対策や物理的対策はしっかりしていてもセキュリティ意識の低い社員ばかりの企業のようではないか。これを踏まえると、国土強靭化がどの程度防災政策として効果を持つか分からない(もっとも、投資家としては儲けが出ることが最優先事項ではあるが)。これでは政府が国土強靭化に予算をつけたところで、土建屋を潤わせるだけという結果にならないとも限らない(それどころか財政の健全性を毀損する可能性すらある)。
南海トラフ臨時情報を契機として、様々な「もしも」の備えを見直すべきではないだろうか。もちろん震災対策については当然のことだが、何も震災に限った話ではない。夏から秋にかけては台風が多いので、風水害への備えも必要だ。想定外に長生きしてしまったときのことを考えるなら資産運用だって欠かせない。あなたが勤めている会社を守るためには、あなた自身の情報セキュリティ意識向上も欠かせない。心に自己防衛おじさんを宿そう。
