日経ITProのトンデモ記事:大震災に乗じて私物解禁宣言!?

日経ITProのサイトで、企業の情報セキュリティ管理について、吉田洋平という記者の書いた意味不明の連載が掲載されている。紙の『日経コンピュータ』誌2011/06/23号に掲載された記事の転載のようだが。
『スマホ・PCの私物解禁!』吉田洋平
タイトルの通り、社員の私物スマートフォンやPCの業務利用を解禁する企業が出始めているということだ。
そもそも論になるが、いったい企業の情報セキュリティ管理とは何のためにあるのだろうか?
情報セキュリティの標準が、英国標準のBS7799だった時代から「CIA」の三文字がキーワードになっている。機密性(Confidentiality)、一貫性(正確性 Integrity)、可用性(Availability)の3点だ。
これら3つの概念はすべて、情報を扱う主体に、内側と外側のはっきりした境界線を持っていることが大前提になっている。
機密性がいちばんわかりやすい。機密性とは、「この情報はある組織の外部に、これこれの条件を満たさない限り公開していはいけない」という意味だ。
この機密性が意味を持つためには、その組織の成員や資産について、どこまでがその組織の「内側」であるかの境界線をはっきり引ける必要がある。
一貫性(正確性)も同じだ。「この情報はある組織の内部で、所定の手続きとルールを守って処理される限り、つねに正確な結果になる」というのが一貫性の意味だ。
これも、誰がどんな道具を使ってその情報を処理してよいか、という組織内と組織外の要員や資産の線引きがはっきりしている場合に限って、保証できる。
可用性も同じである。たとえばある企業の会計システムの可用性は、その企業の内部で行われる会計業務の全業務時間のうち、何パーセントの時間、正常に使えるかで決まる。
これも組織内と組織外の要員や資産の線引きが明確でないと、そもそも可用性の数字そのものがナンセンスになる。
首記の記事に登場する事例を一つひとつ検討してみよう。
まず携帯電話向けソーシャルゲーム大手のDeNAの事例。「独自のセキュリティ対策」として「ITベンダーと共同開発したID管理やログ管理サービスを経由して、クラウドサービスにログインする仕組みを作った」とある。
この自称「セキュリティ対策」によって低減できるリスクは、DeNA関係者でない第三者が同社内のクラウドサービスを利用するリスクだけである。
DeNA社員が悪意または不注意で、社内の情報を漏えいするリスクに対しては、せいぜい牽制効果しかなく、実質的に漏えいを防ぐ対策になっていない。
例えばDeNA社員が私物のスマホを自宅のPCにUSB接続して、あらかじめスマホ内にダウンロードしておいた社内の機密情報を自宅PCにコピーするという事態を、どうやって防ぐのだろうか。
DeNAのオンラインゲームに個人情報を登録している皆さんは、注意した方がいい。
アジア航測やヒビノの事例は、情報セキュリティがほぼ全く考慮されておらず、単なる「なしくずし」なので、論外と言っていい。会社がスマホを貸与する目先のコストを削減したいがために、情報セキュリティをなしくずし的に無視しているだけのことだ。
次のKDDI、コニカミノルタ、明豊ファシリティワークスの事例は、私物のPCをシンクライアント化し、私物PC側にデータを残させない仕組みを構築している点で、情報セキュリティが十分考慮されていると言える。
逆に言えば、私物を業務に使わせるなら、ここまでのシステムを構築しなければ、単に目先のコスト削減のために、情報セキュリティをなし崩しにしているだけと批判されても仕方ないということだ。
同連載の次の章、『「一石五鳥」の現実策、容認は2割』も、論旨がムチャクチャである。
情報セキュリティから「タテマエ」を取ったら、いったい何が残るのか?
確かに「想定外の震災」のような特殊なケースでは、情報セキュリティのルールを期間限定で見直す必要はあるだろう。
しかし、「想定外の震災」以外のケースも含む、すべての事業継続計画において、初めから情報セキュリティを単なる「タテマエ」だとして排除するなら、そもそも情報セキュリティに取り組む意味はゼロになる。
なぜなら、情報セキュリティ管理とは、「万一」の情報漏えい、データ改ざん、システム停止に備えるための管理である。
であるのに、この連載の筆者の吉田洋平氏のように「万一の場合には、情報セキュリティなどといった『タテマエ』を言っている状況ではない」と言い切ってしまうと、企業のあらゆるリスク管理が「タテマエ」であり、無意味になる。
そんな基本的な理屈も分からない記者が、「今夏の電力危機を乗り切る、それを機に新しい働き方に変える方策として、『私物解禁』を今こそ決断しよう」などと、情報セキュリティに関する無責任なアジテーションなど書くなと言いたい。
次の章、『安心・安全に「私物スマホ」を使わせるには』にも、ムチャクチャなことが書いてある。
私物のタブレットやスマホを業務に使わせる前提として、「セキュリティ強化」のために、「端末の設定変更」「リモートロック/ワイプサービスの導入」「MDM(モバイルデバイス管理)ツールの導入」の3点が必要だと書いてある。
「会社の情報はもちろんのこと、従業員個人のメールや写真といったプライバシーも守れることを啓発して、従業員に協力してもらおう」などと書いてある。
では従業員がスマホを紛失したとき、会社側が「リモートワイプを実行してスマホ内のデータを全消去しますよ」と言ったとき、従業員が「個人データまで削除されるのはイヤです」と言って拒否したらどうするのか。
この吉田洋平という記者は、個人データとして、家族の写真といった重要性の低いものしか想定していないらしいが、たまたまスマホを紛失したときに、その従業員が個人的に巻き込まれている民事訴訟にかかわる重要な書類がスマホに入っていたら、会社側はムダな訴訟リスクをかかえることになる。
この連載全体が、一方では大震災という巨大なリスクが現実になったことに対応する「私物解禁」を論じながら、他方ではそういった小さな訴訟リスクを完全に無視するという、恥ずかしいくらい基本的な論理矛盾をおこしているのだ。
日経ITProには、日経ビジネスオンラインよりも高い確率で、この種の「トンデモ記事」が掲載されるが、僕は個人的に、企業で実務を担当する方々のほうが、吉田洋平のような記者よりもはるかに賢明であり、こんなバカげた連載は鼻で笑って読み飛ばすだろうと確信している。