「情報セキュリティ」とはいうものの、、、
経済協力開発機構(OECD)による情報セキュリティでは「機密性」「完全性」「可用性」の3つを情報セキュリティとしてあげているそうです。
ISOでは、その3つに加えて「責任追跡性」「真正性」「信頼性」の3つを加えて6要素としているとのこと。
機密性
意図した相手以外に情報が漏れないこと。漏らさないこと。一般には、情報の機密レベルに応じたアクセス権限の設定と管理が求められる。その権限に対応した必要性と信頼性に応じた人材(単に役職に応じるだけではなく資格が必要な場合なども検討する必要がある)とアクセスルールを決めることが求められる。
パスワードの管理(英数字大小文字と文字数などと、パスワードの書き換えルールなど)の徹底や、ログ管理などを含めた管理の徹底が必要になるが、とかく日本の組織文化では性善説的なルーズさが許容されており、あまり厳密な管理が徹底されているとはいいがたい。
その背景としては「終身雇用」と「年功序列」を上げることができるが、これから時代においてジョブ型雇用に移行していくと仮定するなら、ジョブに含まれる守秘性や知り得たことを漏洩しないというようなコンプライアンス(規範順守)に関わる要素、さらには酒や異性にだらしがないというような属人的な要素などにも厳密な適格性をチェックするような必要性も出てくることが考えられる。
企業は成長が前提であるため、競合他社に対して優位に立たなければならない。営業情報を含めて気味性の高い情報が漏洩してはダメージを受ける。直近では「はま寿司」から「かっぱ寿司」に転籍した新社長が古巣の仕入れ価格を持ち出していたというような事案が発生したごとくで、情報の機密性に対する意識が高まると同時に、最大の障壁は機密情報にアクセスできる人材の資質になる。
「セキュリティ・クリアランス」の導入は、政治家にとっても官僚にとっても、あるいは民間企業にとっても日本型の組織人にとっては高い障壁となるであろうことは想像に難くない。
完全性
完全性は、改ざんや過不足のない正確な情報が保持されている状態でなければならいことを意味する。完全性が失われると、そのデータの正確性や信頼性が疑われ、信頼性が疑わしいデータは利用価値が失われる。
森友事件では、決裁された行政文書から特定に人材の名前を消すという大胆な改ざんが行われたことで、一人の人命が失われるほどの事案となった。改ざんが行われるということは組織の信頼性が失われるということに直結している。
信頼性回復のためには改ざんが行われた背景をつまびらかに明らかにして再発防止と、改ざんに関わった人材の処分が不可欠であるが、森友事件では曖昧なまま民事では国費を請求額全額を支払うことで臭いものに蓋をして終結した。
電子データであればデジタル署名などのようなお金がかかる仕組みを利用しなくても、いくらでも改ざんを防止することはできる。改ざんが起きるということは悪意を持つ人間が組織内にいるわけで、とどのつまり、組織にとって雇用する人材に対しては性善説は成り立たないことを前提としなければならない。
可用性
可用性は、情報をいつでも使える状態を保持すること。必要なときに情報へアクセスでき、目的を果たすまでアクセスやデータ処理が中断されないシステムでなければ可用性が高いとは言えない。
2019年12月4日に日本電子計算の自治体向けクラウドが停止し、47自治体などのシステムが一斉にダウンし、業務や住民サービスに影響が出た。しかも半月経っても完全普及できず、しかも、復元できなかったデータも少なからず発生してしまった。原因は何であれ、可用性の観点からすれば、アジャパーなシステムであった。
それに比してビットコインのブロックチェーンは、稼働以来、全く可用性に問題を起こしたことがない。
二重化や無停電装置など、装置で対応できることは考えられるだけのことをしておくべきでしょう。阪神や東北で大震災が起きると企業の情報が消失してしまうことで事業の継続性を脅かされるというような報道がありますした。
二重化しても遠隔かクラウドにバックアップしておく必要がありそうですが、バックアップもちゃんと管理しておかないと物理的に目にしないことから不要なデータもずっと蓄積してしまいかねません。
まとめ
結局は、組織文化に大きく依存することになる。
すべからくとは言わないものの、日本型の組織で変化の速度にとって障害となるのは、上級幹部にあるケースは少なくない。係長から課長、課長から部長、武将から役員へと階段を上るようにして職責を上げてくるという慣習は、これからの組織の在り方として企業の成長を阻害することのほうが多くなる要素が多い。
また、「文書主義」と言う言葉をネットで調べると行政機関のことのように書かれていることが多いようであるが、文書に残すことだけでは意味がさほどあるとも思えないけれど、その文書の価値の判定と、蓄積、そして共有が組織の利益のために生かされている否かで、組織の明日が変わってくる。
「情報セキュリティ」などと言い出すと、システムへの投資を増やせば安全性を担保できるよう名イメージもあるが、軍備にどれだけ費用を投入したからと言ってアメリカはベトナムに負けたわけで、最後は人間が砦になるかで勝敗は分かれる。
まさにウクライナとロシアの兵士のマインドのようなものである。
きちんとした文化と教育と、そして組織に対する忠誠心がなければ堅固な組織にはならない。「情報セキュリティ」なども、そこから出発するべきである。