デジタル失敗学

セキュリティ対策を誤る“セオリー”だけの手法とその回避術

萩原栄幸 2018年07月02日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 本連載「デジタル“失敗学”」では、金融分野のテクノロジや情報セキュリティの現場を渡り歩き続ける萩原栄幸氏が、日本企業が取り組むべき“デジタル変革”を失敗させないためのヒントを紹介します。

“セオリー”通りのセキュリティ対策になぜ不満?

 今回は、私が情報セキュリティの業務を全面的に出して、金融機関の方々と作業をしていたころの出来事です。当時はまだ、リアルなネット環境を使って他人のPCを乗っ取り、「悪さ」をするクラッキングなどの実演が好評を得るような時代でした。

 その当時に珍しい依頼がありました。それは、「萩原さんの“上から目線”でさまざまな脆弱性を指摘してほしい」という依頼でした。そこで、本店や本部はもちろんのこと、支店や出張所まで観察と調査を行い、「広義のセキュリティ」――つまり、物理セキュリティを含めて徹底的に調べました。監視カメラや駐車場で白線の枠の状況までも包含していたのです。

 駐車場の敷地の形状に対して、白線の配置が効率の良いものか? 白線の舗装が擦れて初めて来店したお客さまに分かりにくくなっていないか? 白線の幅が通常より狭くなっていないか?(※今では白線を二重線にして幅も余裕がないとトラブルの要因になると言われます)など、注意点は実に1000以上ありました。侵入者の視点からでも、「要注意点」は300以上見つかりました。

 調査結果そのものは大変に好評で、銀行の役員や部長は満足げな様子でした。しかし、その対策に必要な「人・物・金」のリソースが十分にあるとはいえない状況だったのです。例えば、「本体システムに関するデータファイルとバッチ処理におけるセキュリティ上の問題点」といった可及的早期に解決すべきものだけでも数十あり、先方から「知らない方が幸せだった」と嫌味を言われるほどでした。

 そこで、法制度上の問題や緊急対応を行わないと極めてまずい問題を除き、これらを解決していくための対応策を検討しました。そこでの課題は、いかに効率良く作業ができ、しかも監督官庁への受けもよい、ただし「人、物、金」は最小限に抑える――というもので、私は単純に一般的な目線で対応策を提示してしまったのです。

 この対応策について個人的に良好な関係にあった役員からは、「内容は理解できる。でもね、この案がベストだとは思えないし、むしろ学生が書いた提案にしか見えない」と、辛らつな評価がありました。

 私は現状の影響度を分析し、対応の優先度レベル1~5に分類していました。レベル1は、「待ったなしで今すぐに対応すべき」という最も優先度が高い問題で、ここには誰もが納得され、経営リソースも十分に手当てされました。しかし、レベル2~5の内容が問題だったです。

 これらのレベルについて私は、まず費用は「現状予算+15%」を限度として設定し、影響度の大きいものをレベル2としてレベル5までの作業を割り当てていました。当然ですが、作業全体の負荷や費用、必要な人数(現状+増加の要員)を含めて考え、プロジェクトのスケジュールなどを鑑みて提案した内容でした。

 それでも初老だった役員は、「もっとエレガントな回答を示してほしい!」と、当時はまだ30代の若造だった私に求めてきたのです。

 私は悩み、同じ業界の信頼できる先輩方に相談しました。ほとんどは「芸がない!」「ひらめきがほしいね」と茶化されてばかりでしたが、ある先輩が「ヒントは3つ!」と、アドバイスをしてくれました。

 1つ目のヒントは、それぞれの作業項目の間における因果関係が全く分析されていないというものでした。そして2つ目は、「100の企業があれば100のパターンが存在する」という指摘です。

 もちろん先輩は、私が担当している現場の状況を知りません。しかし私の提案内容は世間一般的であり、実際にお客さまが有するスキルやリソースの程度を踏まえたり、個別の優先度を十分に考慮したりした上での内容ではなかったのです。「統計的な数字には意味がない。『この企業は〇〇なんだ』というものがないよ」とアドバイスをしてくれました。

 最後に3つ目のヒントとして、「ハインリッヒの法則さ」と言われたのです。私はつい「ハインリッヒ?」と混乱しました。当時の私は、その意味どころか、名前すら知りませんでした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]