都内で開催されたRSA Conference Japan 2007の2日目、奈良先端科学技術大学院大学の山口英教授が基調講演に登壇、「挑戦を支える情報セキュリティのあり方」と題した講演を行った。
山口教授といえば、内閣官房情報セキュリティセンター(NISC)の情報セキュリティ補佐官として政府のセキュリティ戦略構築の中心的役割を果たしているが、今回は政府の立場ではなく、大学教授の肩書きでの講演となった。
情報システムのインフラ化が進み、特に「ここ3~4年は非常に大きな変化」(山口教授)が起きている。コンピュータやネットワークが業務のさまざまなシーンで使われるようになっており、たとえば生産だけでなく、販売の現場もIT化され、「コンピュータがビジネスを駆動する」(同)までになった。
ストレージやコンピュータパワーの増大で、コンピュータが扱う情報・データも膨大になり、「人のキャパシティを超える空間をコンピュータがマネジメントできるようになった」(同)状況で、このコンピュータシステムをいかに守っていくか、いかに安全に運用していくかを考えることが「今の情報セキュリティに求められている」(同)。
しかし、非正規雇用が増加し、ビジネスのノウハウは暗黙知としてではなく、言語化・可視化する必要性があり、IT化の進展で「いつもどこかでシステムが壊れている」(同)現状と、IT人材の不足といった問題を解決する必要があると山口教授。
こうした問題に対して山口教授は、(1)情報セキュリティに関連する技術、(2)社会システムと適合するコンプライアンス(法令順守)、(3)セキュリティを確保するために、技術を使うのか、コンプライアンスで対応するのか、そういったバランスのマネジメント――の3つの領域の必要性を強調する。
「身を助けるものは直感と気合いではなくて、合理的な判断をいかにやるか」(同)であり、これはこれまでの「セキュリティ屋があまり学んでいない領域」(同)だという。合理的な判断をするためには、ビジネスの達成目標の明確化と人的・金銭的リソースや現在の状況といった現状認識が必要だ。
さて、こうして合理的な判断で通常のビジネスプロセスが動いていてもインシデントが起きる可能性はある。しかし、インシデントが起きるような緊急事態においては、「普段やっていることしかできない。普段やっていることも満足にできないことがほとんどで、普段やっていないことは絶対にできない」(同)。
そのため、危機対応時に実施することを常日ごろから実施していく必要がある。通常のビジネスプロセスに危機管理の作業を組み込むことが重要なのだという。山口教授が普段接している現場でも、「普段やらないことをやろうとするからおかしくなっている」のだそうだ。
また、山口教授はリスク評価も重要な要素だと指摘。このリスク評価はステークホルダー(利害関係者)全員の合意形成のことであり、この合意形成のプロセスをきちんと実施することこそが重要なのだと山口教授は繰り返し強調する。
現状、合理性を追求しようとすると科学的な手法が「一番うまく動ける仕掛け」(同)だが、この場合、情報を収集してその検証と解析を行い、問題を見つけたらそれを解消する、というサイクルになる。山口教授は、このように合理的に問題を解決するプロセスを作るのが重要だと話す。