本連載「デジタル“失敗学”」では、金融分野のテクノロジや情報セキュリティの現場を渡り歩き続ける萩原栄幸氏が、日本企業が取り組むべき“デジタル変革”を失敗させないためのヒントを紹介します。
“セオリー”通りのセキュリティ対策になぜ不満?
今回は、私が情報セキュリティの業務を全面的に出して、金融機関の方々と作業をしていたころの出来事です。当時はまだ、リアルなネット環境を使って他人のPCを乗っ取り、「悪さ」をするクラッキングなどの実演が好評を得るような時代でした。
その当時に珍しい依頼がありました。それは、「萩原さんの“上から目線”でさまざまな脆弱性を指摘してほしい」という依頼でした。そこで、本店や本部はもちろんのこと、支店や出張所まで観察と調査を行い、「広義のセキュリティ」――つまり、物理セキュリティを含めて徹底的に調べました。監視カメラや駐車場で白線の枠の状況までも包含していたのです。
駐車場の敷地の形状に対して、白線の配置が効率の良いものか? 白線の舗装が擦れて初めて来店したお客さまに分かりにくくなっていないか? 白線の幅が通常より狭くなっていないか?(※今では白線を二重線にして幅も余裕がないとトラブルの要因になると言われます)など、注意点は実に1000以上ありました。侵入者の視点からでも、「要注意点」は300以上見つかりました。
調査結果そのものは大変に好評で、銀行の役員や部長は満足げな様子でした。しかし、その対策に必要な「人・物・金」のリソースが十分にあるとはいえない状況だったのです。例えば、「本体システムに関するデータファイルとバッチ処理におけるセキュリティ上の問題点」といった可及的早期に解決すべきものだけでも数十あり、先方から「知らない方が幸せだった」と嫌味を言われるほどでした。
そこで、法制度上の問題や緊急対応を行わないと極めてまずい問題を除き、これらを解決していくための対応策を検討しました。そこでの課題は、いかに効率良く作業ができ、しかも監督官庁への受けもよい、ただし「人、物、金」は最小限に抑える――というもので、私は単純に一般的な目線で対応策を提示してしまったのです。
この対応策について個人的に良好な関係にあった役員からは、「内容は理解できる。でもね、この案がベストだとは思えないし、むしろ学生が書いた提案にしか見えない」と、辛らつな評価がありました。
私は現状の影響度を分析し、対応の優先度レベル1~5に分類していました。レベル1は、「待ったなしで今すぐに対応すべき」という最も優先度が高い問題で、ここには誰もが納得され、経営リソースも十分に手当てされました。しかし、レベル2~5の内容が問題だったです。
これらのレベルについて私は、まず費用は「現状予算+15%」を限度として設定し、影響度の大きいものをレベル2としてレベル5までの作業を割り当てていました。当然ですが、作業全体の負荷や費用、必要な人数(現状+増加の要員)を含めて考え、プロジェクトのスケジュールなどを鑑みて提案した内容でした。
それでも初老だった役員は、「もっとエレガントな回答を示してほしい!」と、当時はまだ30代の若造だった私に求めてきたのです。
私は悩み、同じ業界の信頼できる先輩方に相談しました。ほとんどは「芸がない!」「ひらめきがほしいね」と茶化されてばかりでしたが、ある先輩が「ヒントは3つ!」と、アドバイスをしてくれました。
1つ目のヒントは、それぞれの作業項目の間における因果関係が全く分析されていないというものでした。そして2つ目は、「100の企業があれば100のパターンが存在する」という指摘です。
もちろん先輩は、私が担当している現場の状況を知りません。しかし私の提案内容は世間一般的であり、実際にお客さまが有するスキルやリソースの程度を踏まえたり、個別の優先度を十分に考慮したりした上での内容ではなかったのです。「統計的な数字には意味がない。『この企業は〇〇なんだ』というものがないよ」とアドバイスをしてくれました。
最後に3つ目のヒントとして、「ハインリッヒの法則さ」と言われたのです。私はつい「ハインリッヒ?」と混乱しました。当時の私は、その意味どころか、名前すら知りませんでした。
