かるた大会以外にセキュリティセミナーを用意
一方、かるた大会の合間にはセキュリティセミナーが開催され、講師として登壇したティーシーニック代表取締役の新倉茂彦氏が、「情報セキュリティの選定眼」をテーマに講演した。
コンピュータネットワークセキュリティの論理的分野と物理的分野で経験を積み、リスクマネジメントの視点から情報漏えい対策、情報セキュリティ分野でコンサルティングを提供する新倉氏は、「攻め方を知らなければ情報を守ることはできません。選定眼の視点をどう磨くかが重要です」と語る。
情報セキュリティの基本は機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の「CIA」といわれるが、こうした標語がセキュリティへの理解を妨げているという。そこで、セキュリティを分かりやすく説明するためにいくつかのキーワードで説明する。
ナナメ視点の情報セキュリティ
「“情報セキュリティのCIA”などという説明がセキュリティを分かりにくくしている」と指摘する新倉氏。
人は意識したことしか認識できない。そのため、視点によって風景がかわるものは補助線を引いてみたり視点とアプローチを変えてみたりすることで枠や壁、偏見を取り払うことができる。異常事態に直面しても正常の範囲内として思い込む正常化バイアスは危険で、日頃から異常の兆候がどういうものであるかを知り、非常時にどう対処すべきかを考えることが大切だという。
「私たちは二項対立の世界にいるが、セキュリティを性善説と性悪説で考えるのは間違い」という新倉氏は、どちらかではなくどちらもという意識を持つこと、守るために狙う視点を持つこと、セキュリティは矛盾が前提にあると理解することが重要だという。
いつもの日常に潜むリスク
リスクの保有や移転、回避と異なり、リスクの低減はマネジメントで対応するしかなく、その範囲も広く最も難しい。そのため、潜在リスクを見極めるには、(1)仮説を立てる、(2)敵の視点で考える、(3)現状の問題を逆さにするといった思考の逆転も有効になると同氏は話す。
また、怖さと危険のリスクは違うという。子供が銃のある友人の家とプールのある友人の家とどちらに遊びに行ったら危険か。銃では100万丁に1人、プールは1万1000個に1人の割合で死亡しているから、プールのある家のリスクは100倍高いことになる。
さらに、新倉氏の体験として、病院の喫煙所やカフェ、電車の中、居酒屋など公共の場所で不用意に噂話をする人が多いという。「見たり聞いたりしなければ情報漏えいもしません。IDを首から外す、書類は裏返しにして伏せる、ネット系のつぶやきには気をつける、といったちょっとしたことに配慮することが情報セキュリティの基本」という。
