WikiLeaksが最近話題になっていることには、それなりの理由があります。世界で最も強力な政府の機密文書が、インターネット上に公開されるのは、それほどよくあることではありませんから。そして、その文書の一部は、控え目に言っても、恥ずかしいものです。
しかし私はここで、そのような情報をWikiLeaksが公開することが合法か、その情報を公益のために公開しておくべきだったか、WikiLeaksの創設者はどうなるのか(ジュリアン・アサンジは本記事執筆時点で拘留中)、などということを論じるつもりはありません。
問題は、WikiLeaksが閉鎖されれば、また新しいWikiLeaksが現れるだろうということです。言い換えれば、公衆への情報漏洩の脅威は、今後も増え続けるということです。(ちなみに、ジュリアン・アサンジは拘留前に、アメリカの主要銀行およびその不正行為に関する差別的な情報を公開すると発表していました。)
ここでは、企業の立場から考えてみましょう。WikiLeaksやそのクローンの次の標的が企業だとしたら。情報のセキュリティを保証し、大規模なインシデントによる損害を防ぐには、どうすればよいのでしょうか。
単純な例
現実の情報セキュリティはどのようになっているのでしょうか。 単純な例で考えてみましょう。たとえば、ラップトップを自動車の後部座席に放置することがよくあるとします。そのラップトップはおそらく、遅かれ早かれ盗まれるでしょう。
そのリスクを低下させるためには、何ができるでしょうか。第一に、(手順や方針を書くことにより)ラップトップを無人の車内に放置してはいけないとか、自動車は何らかの物理的防護のある場所に駐車しなくてはいけないといった、ルールを定めることができます。第二に、強度の高いパスワードを設定してデータを暗号化することにより、情報を保護することができます。さらに、起こりうる損害に責任を持つという宣言書に署名することを、従業員に要求することもできます。 ただし、このような方策はどれも、従業員に簡単な訓練を施してルールを説明しなければ、機能しないことがあります。
では、この例から引き出せる結論は何でしょうか。情報セキュリティは決して唯一のセキュリティ方策ではなく、常に他の方策と一緒に実施されるということです。そのような方策には、IT関連の方策だけではなく、組織的問題・人事管理・物理的セキュリティ・法的保護なども含まれます。
この例の問題点は、インサイダーからの脅威のない、ラップトップ単独の例だというところにあります。今度は、会社で自分の情報を保護することがいかに難しいかを考えてみてください。会社では、情報は自分のPCだけでなく他のサーバーにも、自分の机の引き出しだけでなく携帯電話にも、USBメモリスティックだけでなく全従業員の頭の中にもアーカイブされます。さらに従業員の不満にも対処しなくてはなりません。
不可能な仕事だと思いますか。 確かに難しいですね。でも不可能ではありません。
アプローチする方法
このような複雑な問題を解くために必要なものは、フレームワークです。 幸運なことに、そのようなフレームワークはすでに規格の形で存在しています。最も普及しているのは、情報セキュリティマネジメントの代表的な国際規格であるISO 27001ですが、COBIT、NIST SP 800シリーズ、PCI DSSなど他の規格もあります。
ここではISO 27001だけを採り上げます。ISO 27001は、133個のセキュリティ管理策のカタログ、および、リスクとの関連で実際に必要な管理策だけを適用する柔軟性を提供しているので、情報セキュリティ・システム構築のための優れた基盤を与えてくれるでしょう。でも、その最大の特徴は、セキュリティ問題を指揮・管理し、セキュリティ管理の実現を組織全体のマネジメントの一部として扱うような、管理フレームワークを定義していることです。
要するに、この規格は、さまざまな形式のあらゆる情報やリスクを対象とすることを可能にし、潜在的な問題を慎重に解決して情報の安全を守るための道筋を示してくれるのです。
事業に与える影響
では、企業は情報が公衆に漏洩することを怖れるべきでしょうか。非合法もしくは非倫理的な活動を行っている企業はそう思うべきでしょうね。
でも合法的に経営している企業の場合、事業を守りたかったら、投資利益率、市場シェア、コア・コンピタンス、長期的な展望といった事だけを考えていてはいけません。そのような企業の戦略には、セキュリティの問題も取り入れる必要があります。なぜなら、情報セキュリティの危険は、新製品の発売に失敗するなどということよりも、はるかにコストがかかる可能性があるからです。 私がセキュリティという言葉で言いたいのは、物理的セキュリティだけではありません。それだけではもう不十分だからです。テクノロジーは、情報をさまざまな方法で漏洩することを可能にしました。
必要なのは、情報セキュリティに対する包括的なアプローチです。体系的なアプローチであれば、使用するのはISO 27001でもCOBITでもそれ以外のフレームワークでもかまいません。それは一回限りの努力ではなく、継続的な作業です。 そしてそれは、IT担当者だけでできることではありません。経営陣を始め、企業全体が参加しなければならないことなのです。
白書 ISO 27001 Case study for data centers では、実際の導入事例をもうひとつ紹介しています。