V.S.A. III

近藤宗平さんの「人は放射線になぜ弱いか」という本の中で引用されて有名になった「正当に怖がる」という，物理学者の寺田寅彦さんの言葉があります．寺田寅彦さんは随筆家でもあり，原文は「小爆発二件」の中に見られます．亡くなられた年の作品です．

---

ものをこわがらな過ぎたり、こわがり過ぎたりするのはやさしいが、正当にこわがることはなかなかむつかしいことだと思われた。

---

　この言葉は，化学分野や原子力分野でもよく引用されているようです．情報セキュリティの分野も同じことだと思います．知らないことによる恐怖，知っていることによる恐怖，いずれも怖がりすぎてはいけないのです．

　毎日のように情報漏洩事故が起こり，マスコミも取り付かれたように個人情報に関する事故を報道しています．個人情報が盗まれて，プライバシーが侵害されたり，犯罪に利用されたりすることは怖いことです．その怖さを知らないことや知らせないことは別な弊害を生むでしょう．しかし，電子化されることによる大きなメリットも忘れてはならないと思います．

　知らないことによる恐怖は，知っている人たちが正しくわかりやすく知識を与え，知っていることによる恐怖は，それが偏った知識ではないことを確認して広い視野で，正しく怖がらなければなりません．

　経済産業省が打ち出している情報セキュリティ総合戦略の中でも謳われているように，「事故を前提とした社会」の中で，事故が起こったときにどうするのかという視点も加えて怖がらなければなりません．

　怖さは結局，少数派の悪人たちの行動が原因です．ITをうまく利用して私たちが享受できるはずの恩恵を，悪意を持った少しの人たちのために失うことは，絶対に避けたい．そのためには，皆が正しく怖がることが必要なのです．

 

正当に怖がることは難しいの続きを読む

　うちの社員証はビルの売店や食堂でキャッシュレス(給料天引き)でお買い物ができます．最近は自動販売機も Edy 対応なので「Undy(TM)カード」などを持ってると，ビル内の生活には現金が不要です．
　豊洲の「プロント」に寄ってから出社することが多いのですが，ここでもプロントの Edy カードを持ってると，現金が要らないだけでなく，コーヒーなどが 10% off なので節約にもなってます(ちなみに，12/9まではこのプロントカードで 20%off．って，私はプロントの回し者じゃないです^^;)．
　会社の帰りにコンビニに寄り道すると，今度はJR スイカの利用．かくして，一日中現金を使わないというのが当たり前になってきてます．どこかでチャージしなければならないわけですけどね．

　話を戻して社員証．これで買い物ができるということと，身分証明や入退出管理としてのカードの機能は，分離した方がうれしいかも，と思っています．そう思う一方で，何枚もカードを持つのはいやだなぁ，という思いも．

　ukon さんが社員証を作り直す，あるいは別なカードを作ることについて「その投資分は業績に響いてきます」と書いています．これは文脈から解釈すると，悪い意味で「響く」ということだと私は解釈しています．
　つまり「そんな無駄な出費」ということですね．

　そこで，最近，情報セキュリティの投資をプラスに転じられないか，ということが話題になっています．

　去る 11 月 18 日(土)に，株式会社ディーアイティーの創立 20 周年記念講演(テーマは「情報セキュリティガバナンス」)の招待に預かり，経産省の田辺課長補佐，IBM ビジネスコンサルティングサービスの CSO 大木栄ニ郎さん，dit の河野さんをモデラーとするパネルディスカッション(三菱総研の川口さんにも久々にお会いした，と言っても一ヶ月ぶり)などを聞いてきました．その中でも，しきりに情報セキュリティによる企業価値向上の話がとりあげられていました．

　「情報セキュリティガバナンス」については，12月9日に情報セキュリティガバナンス シンポジウムが開催されるので，興味のある方は参加されると良いと思います．

　さて，私も「攻める情報セキュリティ」というのを考えています．
　突然ですが，企業法務の役割には三つあると言われていますが，その三つが何か知っていますか？

　それは「予防法務」「臨床法務」「戦略法務」の三つだそうです．

「予防法務」は契約などに代表される，問題が起こらないようにするための法務機能．「臨床法務」はコトが起こってしまった後の裁判対応などの法務機能．そして最後の「戦略法務」は営業活動などに積極的に参画し，利益拡大に貢献するための法務機能だそうです．

　これをそのまま「情報セキュリティ」にも当てはめようよ，というのが私の持論です．語呂が悪いので「情報」という言葉ははずしてしまいますが，「予防セキュリティ」「臨床セキュリティ」「戦略セキュリティ」と呼んでいます．

「予防セキュリティ」は文字通り，事故を起こさないための予防策．「臨床セキュリティ」は事故が起こった後の対応策．そして「戦略セキュリティ」が利益を生むためのセキュリティ．

　経済産業省が推進する「情報セキュリティガバナンス」も，その一環として「報告書」を公開することを推奨していますが，これがその戦略セキュリティの一つです．情報セキュリティを実施することで企業価値を高める．10 年前に「環境」がやろうとしていたことと同じです．今や CSR 報告書の中で環境への取り組みを取り上げるのは当たり前になっています．同じ考え方を情報セキュリティでもやりましょう，ということです．

　情報セキュリティの対策は今までは利益を生まないコストとしか捉えられていなかったものを，利益を上げるための「道具」としてセキュリティ対策を実施するのです．そのためには，企業がトップダウンで一丸となって，情報セキュリティに取り組むこと，すなわち「情報セキュリティガバナンス」が重要な意味を持つことになります．

　そう，情報セキュリティガバナンスというのは，情報セキュリティ対策をコストじゃなくて企業の価値に変える「攻め」なんです．

追伸：三菱総研の川口さんがブログを書いていると仰っていたので覗いてみました．トラックバックできないんですね，残念．．．orz
本日付で，川口さんの新しい記事が出てました．

追伸２：まただらだらと書いて，長くなってしまいました．すみません．

　社員証をネックストラップで首から提げるようになったのはいつからだったでしょうか．携帯電話を首から下げていた友人を「なんじゃそりゃ」とか言って笑っていたのに，いつのまにかそれが当たり前になってしまいました．社員証も携帯電話も首から下げてジャラジャラと．私もその一人．友人の先見の明に尊敬 (@_@)

　ukon さんが，「セキュリティと個人情報保護」というタイトルでブログを書いていますが，「社員が他の社員の社員証を見て個人情報保護の観点からリスクってありますかねぇ？」という質問に対して思うところを．．．

　社員証をぶら下げている「リスク」はあるか？と言われれば，「リスクはあります」が答えですね．ukonさんは「他の社員が」「社員証を見る」というケースを挙げていますが，社屋には社員ばかりではなく，様々な人が出入りしています．その社員証をみて，名前を覚え，詐称するということは可能です．もちろん，社員も．つまり，それが個人情報かどうかにかかわらず，社員証を見て得られる情報を使って発生するリスクは存在します．

　ukonさんの質問に戻って「個人情報保護の観点」からではどうでしょう？
　そもそも個人情報保護法において「『個人情報』とは，生存する個人に関する情報であって，当該情報に含まれる氏名，生年月日，その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ，それにより特定の個人を識別することができることとなるものを含む．)をいう．」となっています．本人の氏名は個人情報ではありますが，社員証に記載された氏名は，電子的に容易に照合できないという点で，個人情報保護法で定める個人情報には当てはまりません．
　これを踏まえた上で，電子媒体以外の一般的な意味での「個人情報」という点では，名前を知られることによるリスクは存在すると思います．

　しかし，「リスクを受容できるか？」という質問であれば「受容できる」と考えられます．よくあるのは，リスクの存在と，リスクの受容(保有)の混同です．ukonさんが間違っているということではありません．リスクが存在しないわけではなく，そのリスクがどのようなものであるかを吟味しなければならないということです．

　「リスク」は一般に「脆弱性」「脅威」「情報の価値」によって決まります．それぞれの積と考えればよいでしょう．情報の価値が大きくても，脆弱性や脅威が小さければ，そのリスクは対策を採らなくてもよいかもしれません．
　リスクが存在するから対策をとらねばならない，というのは少し短絡的な考え方です．情報セキュリティの対策をどこまでやらなければならないのかというのは確かに難しい話ですが，発生する可能性が小さいのであれば，リスクは小さいと言えます．

　社員証から名前を覚えて，それを使って何か悪さをする，というのはありえるかもしれませんが，名前だけではそれほど大きなリスクを抱えているとは考えにくいですね．外部から，その名前を使って電話をかけてくる，パスワードを聞く，などのソーシャルエンジニアリングの手口での脅威はあるかもしれませんが，不可解な電話にどのように対応するか，というような点は教育によってリスクが低減されていると，私は信じたいです．

　あとは，社員番号．ちゃんと分析したわけではありませんが，感覚的には，ちょっと怖いかな，という気はします．が，シールを貼る，などの手段も取れないわけではないですよね．ケースから出すことも少なくないですが，少し工夫すれば，わざわざ作り直す必要もなさそうです．本当にそのコストをかけるに値するリスクなの？ということですね．

　あるいは，経営者判断で，会社の名誉にかけて，それほどのリスクであっても見逃せない，などということであれば，それはそれで，まぁ，アリかもしれませんが．

　もう少し書き足りないところもありますが，リスクについて考えすぎて知恵熱で風邪もまっつぁおなので，今日はとりあえず，この辺でクスリでも飲んで寝ます(-.-).zZ

 

今日は埼玉県民の日で，子供達はお休みです．いつもの朝のドタバタとはうらはらに，のんびりと朝食を摂る家族を尻目に，お父さんだけ出社(;_;)
こういう日はきっと私のいないところでいいもの食べてるに違いない と思ってしまうのは，私だけではないはず．ディズニーランドなんかの行楽地は埼玉県民の子供連れだらけなんだろうなぁ．東京都民の日で会社が休みにならんかな．

あ，東京都の会社でお父さんだけ休みになっても，埼玉県民の子供達は休みじゃないのか．．．orz

閑話休題．
nakagawa さんが紹介してくれた論文「暗号メールにおける個人情報不正送出チェックシステムの評価」には非常に興味があります．東京電機大学の佐々木先生などの論文ですね．

この論文は未読ですが，昨年も同じ研究の内容での発表があり，暗号化メールの検知をどうするのかということで話題になっていました．

ちょっと話はずれますが，地上波デジタル放送などの録画用の情報家電では，コピーワンス(録画したものを一度しかコピーできない)の方法を取り入れています．これは，放送に「これは一度しかコピーしちゃだめです」という信号を入れておいて，録画の組込み系機器がそれを解釈してやるわけです．
この方法は，信号を入れる側と信号を受け取る側の「協定」がないと実現しません．

これはメールについても同じではないかと思っています．
つまり，この論文で紹介しているように S/MIME などを拡張して個人情報の流出を防ごうという発想は，結局それを中継するメールサーバが「協定」を結ばなければ実現しないことだと思っています．

性善説をとなえるつもりはありませんが，世の中，クラッカーばかりではないはずと信じています．いい人＝ホワイト・ハッカーの方が絶対に多い，ですよね，きっと．

でも，裏切り者もいるはずなんだよなぁ．．.orz

 

書きっぷりは前の方がよかったよ～，という声が聞こえてきているので，スタイルを元に戻して．(そういう感想もコメントに書いていただけるとうれしいのですけど)
kkato さんと同様に，やわらかーい記事の提供を目指しています(しかも，顔文字(^^;)を使った口語調で！)
(じゃないと，ブログ続かないです，私の場合)

今日はブラウザ(Mozilla Firefox 1.0.7)で記事を直接書いている最中，Alt-Tab で画面を切り替えるつもりで，Alt-1 を押してしまい，入力していた内容が消えてしまいました．．．orz

気を取り直して，勉強のために情報セキュリティの資料などを調べていたら，規格がたくさんでてきてワケがわからなくなってきました．情報セキュリティに関する JIS や ISO はいったいどのくらいあるのやら(@_@)

財団法人 日本規格協会(JSA)のホームページで検索してみたところ，JIS 規格で 65 規格，ISO，IEC を含めると 131 規格(廃止も含む)が一覧に出てきました("information" と "security" で検索)．

すぐに中身を全部読んで覚えるのは私には無理(;_;)
とりあえず，JIS(日本工業規格)と国際規格の対比ぐらいにしておこうかと，図のような表を作ってみました(最初の部分だけ図にしてみました)．
例えば，JIS Q 15001 には対応する国際基準はないとか，JIS X 0008 は ISO/IEC 2382-8 に変更を加えたものだとか，ISMS の基準 ISO/IEC 27001:2005 (旧 ISO/IEC 24743)が出てるとか．．．だいぶ整理が出来ましたが，内容を抑えるのはまだまだ先が長い．こういう表は世の中のどこかに落ちてないものでしょうか？

友人の受け売りになりますが，ITIL(IT サービス実施のためのベストプラクティス集)をベースにした，「IT サービスマネジメント」BS 15000 が国際標準 ISO 20000 として(2007 年頃)制定されることになるとか，GMITS として知られる ISO/IEC 13335 が ISO/IEC 27003 になるとか，そういう動向も抑えなきゃいけないし．

ISO のページとかを watch するのも結構大変ですよね．

情報セキュリティの様々な分野でそれぞれに関連する規格を提示して説明している解説書は多いけれど，どのくらいの規格がある中でどこを説明しているのか，という説明をしているものは少ないですね．

いや，だから，このままだと，規格の風呂でチャプチャプしているだけでは済まなくて，規格の洪水に流されてしまうことになっちゃうよ．というのが言いたかったこと．

# というわけで，タイトルにつながる(無理矢理)

そうそう，意外と勘違いされていますが，JIS規格を制定している日本工業標準調査会(JISC)というのは，団体名じゃなくて，経済産業省の審議会の名前です．