ふたたび「人材が育たない理由」を考える(1)

今日は公約どおり（！？）、「人材が育たない理由」について書きます。

「人材を育てる」というと、そのまま「人材育成」という言葉になります。
言葉だけならいいのですが、本当にただ育成だけしているという組織も多いようです。
つまり、育成したあとの対応がないということです。

育成ということは、何らかの知識やスキルを身につけさせることになりますが、それを維持したり活用するために手間や費用をかけないのです。
その結果、習得した知識やスキルがある時点のもの（私はよく「瞬間最大知識」とか「瞬間最大スキル」などと言っております）にとどまり、あとは劣化の一途をたどっていくということになります。（何にもしないで、知識やスキルが維持できるほど人間は器用ではない）

こういうケースは、資格取得だけを目的にした教育で多いのです。
特に維持更新の必要のない資格もので、このようなことが起こります。
そのうえ、取らせた側は、その人が取得した資格を永遠に使えるように思っていることさえあります。
それで、「その資格のスキルを現時点でも持っている」なんて信じて、重要な案件にアサインなどしてしまったら・・・
アサインした側にとってもされた側にとっても、そういう人を送り込まれた相手にとっても、全ての人にとって不幸なことになります。
（そういう事例も実際に知っています）

人材マネジメントは育成するだけではなく、活用や維持なども含めて戦略的に計画や管理がされなければならない、ということがまずは理解されなければなりません。

「国内における情報セキュリティ事象被害状況調査報告書」公開

8/29にIPAセキュリティセンターより、公開されました。

・2006年 国内における情報セキュリティ事象被害状況調査
※ 報告書は、こちら。

・情報セキュリティ対策の現状
・コンピュータウイルスによる被害状況
・ファイル共有ソフトを介した情報漏えい
・不正アクセスによる情報漏えい
・DoS 攻撃による被害経験の有無
・情報セキュリティに関連する間接被害
というような内容の調査報告です。

対策（ウイルス対策ソフトの導入、パッチの適用など）は、経年的には進んでいるようです。
しかし、相対的に世の中のセキュリティレベルが向上しているようには、私には感じられません。なぜかなぁ～。

ふたたび「人材が育たない理由」を考えるぞ

今週末に、情報セキュリティ教育に関する会合があるので「(情報セキュリティに係る)人材が育たない理由」なんてことを考えていました。
そこで、1年以上前に先代のブログで書いていた記事のことを思い出し、読み直しまてみました。
（他人事のようですが）「人材が育たない理由」って、タイトルで3回に分けて書いていましたね。
久しぶりに自分の書いた文を読んでみましたが、1年たっても考えはほとんど変わっていませんでした。

ところで、先代ブログの「人材が育たない理由」の1回目では、こんなことを書いていました。

人材育成についてはどこの組織も悩んでいる問題ですが、まず共通かつ重大な問題があります。
それは、育成対象である従業員よりも、育成側である組織に問題があるということです。

特に最近感じるのは、組織の構造的な問題です。
特に縦割りの組織で「教育を受けてスキルを磨くより、管理職として出世したほうがいい」なんていうようなところです。
つまり「スキルアップをしようという動機付けに欠け、評価する仕組みもない」ということです。

さらに「スキルあるほうが損。評価（特に給与面）もされずに、仕事ばかり重たくなる」なんて、現場の声も聞いたことがあります。ちなみにこの人は「バレないように、スキル磨いて転職」なんてことを考えてました。

これは人材育成のフレームワーク上の欠陥、さらに組織デザイン自体の欠陥というところです。
このあたりに欠陥が存在する組織で、小手先の工夫をしたところで、ほぼ効果はありません。

そして第2回では、こんなことを書いていました。

前回のつづきです。
で前回は、人材育成のフレームワーク上の欠陥、さらに組織デザイン自体の欠陥、これが最大の人材が育たない原因と書きました。
そして、これらの原因は解決されることはほとんどありません。
欠陥があることに気がつかなかったり、気がついても修正する手立てがなかったり、わざと直さなかったり。

気がつかない場合というのは、長い間同じ組織の文化で仕事をしてきたので、何もかもが当たり前に見えていて、これは修正するという行動以前の問題です。

修正する手立てがない、わざと直さない、などの場合の典型的な例としては、一昔前のベストセラー「なぜ会社は変われないのか」に、こんなシーンがありました。

＞残業を重ねて社員は必死に働くのに、会社は赤字。社内には不信感が渦巻き、口ばかりの評論家が氾濫。リストラで人も給料も減らされ、上からは改革の掛け声ばかり。

＞先進国の中で最も勤勉な民族,最も労働時間が長い。しかし,欧米先進地域に比べると生産効率が上がらない。この矛盾の答えは効率よりも長時間会社にいることがロイヤリティの証だったり,言いだしっぺが損をするような体質・風土が企業内で改善されていないことが大きな原因となっている。

さらに、「馴れ」「立場」「大人の判断」「会社はこうあるべきという暗黙のルール」などのキーワードから、風土・体質の問題が生じるメカニズムとなっている、と。

まさにこのあたりが人材育成にも大きな影響を与えていると思うのです。

さらに第3回では、こんなことを書いていました。

人材育成といえばやはり「教育」「研修」ですので、今回からはそちらの話に移りたいと思います。
まず大きな問題点として、今日取り上げるのは「教育」「研修」そのものが体系化されていないという点です。
優れた人材とは、その人に割り当てられた役割や責任において、期待される効果を出せる人だと思います。
そのようなスキルは、インプットされる知識が断片的なものであっては身につきません。
つまり知識が体系的に理解され、さらにそれが役割や責任や期待される効果に合った形でアウトプットされなければなりません。
ほとんどは詰め込み式の知識だけを身に着けるコースであることが多いようです。

現在の「教育」「研修」では、そのようなスキルが身につくように設計されている例はあまりありません。
既存のコースを見た目上、体系的に示している場合は多くありますが、エントリーレベルからハイレベルまで、そしてインプットされた知識を実践しアウトプットするコースまで十分に示されている、という例はまずないでしょう。

そうなると「実践しアウトプットするのはOJTでしょ？」なんてことを言われることも多いのですが、それなら「教育」「研修」とOJTが体系的になっていなければなりません。ですから、それも違いますよね？

そして、最後に「さらに続く」となっていましたが、その続きはなし・・・
我ながら、そしていつもながら何たる無責任。

ということで、今週中にこの続きを書こうと思います。

IT統制に対し「実施基準」より詳細な指針は“なし”

日経ITproの8/27の記事「「実施基準」を補完する2つの文書の実態」からです。

これによると、（タイトルの通り）「IT統制に対し「実施基準」より詳細な指針は“なし”」とのこと。
その理由としては、「実施基準において、財務報告にかかる内部統制の整備に必要な事項は十分に示している」、「実施基準よりも詳細な文書を公表することは、余分な混乱を招く」ということらしい。
詳細な文書を公表するこちが混乱を招くのか、それとも公表しないことで混乱を招くのか・・・
個人的には、このレベルの具体性では、公表しないことで混乱を招くのではないか、と考えております。

また、この記事にも「2008年4月の適用開始時期が迫る中、「緩和策が出る」「具体的な対応策が示される」といった希望的観測は、日本版SOX法のコンサルタントや公認会計士らの側にもある」とあるように、まだまだこれから先に何かありそうです。
とはいえ、この段階で様子を見るというわけにもいきませんから、内部統制に係る整備は進めなければなりませんね。

ネットワーク・セキュリティ・ワークショップ in 越後湯沢 2007

毎年、参加したいと思いながら、参加できていないイベントです。
いつもスケジュールが合わないんですが、今年もどうやら無理そうです。（娘の運動会などがブッキングしてまして・・・）

「ネットワーク・セキュリティ・ワークショップ in 越後湯沢 2007」

日程・場所：2007年10月4日(木)-6日(土)新潟県 越後湯沢温泉

第8回となります今回は、「新しいネットワーク技術がもたらす可能性とセキュリティの課題」をテーマに掲げ、経営者の皆様へは「情報セキュリティ投資のありかたを考える」、管理者の皆様へは「新しい法制度に対応できるIT統制を考える」、技術者の皆様へは「新しいネットワーク技術におけるセキュリティを考える」機会として、各方面の第一線の先生方によるご講演と参加者も交えた有意義な議論を積み上げたいと思っております。

プログラムのご紹介
■ 基調講演・外国人講演
　大ホールを会場に、著名な講師に講演いただきます。また海外から招聘した海外講師から、海外のセキュリティ事情を通訳付きでお聞きいただけます。

■ 分科会・企業セッション
　分科会では、2つの会場に分かれて個別のテーマ毎に専門家から講演いただきます。 また企業セッションでは、幾つかの企業からセキュリティ対策を提案していただきます。

■ ナイトセッション
　飲み物を片手に、軽快な司会者のトークを中心とした気軽なセッションをお楽しみください。会場の参加者から飛び入りで思わぬ爆弾発言がでることもあります。お楽しみに。

■ 車座会議
　複数の会場に別れ、座長を中心にまさに車座になり、参加者同士でディスカッションを行います。 議論が白熱して、気が付けば深夜にまで及ぶことも…

このイベントは、まず温泉地で泊りがけで参加、というところが魅力です。
さらにお酒を飲みながら、上記のような「ナイトセッション」や「車座会議」などというのも大変な魅力です。

参加したいんだけどなぁ・・・

CVSS v2へ移行

8/20にIPAセキュリティセンターより「脆弱性の深刻度評価の新バージョンCVSS v2への移行について」が、公開されています。

どこが変わったかというと・・・

●CVSS v2の改善点
　脆弱性の深刻度の分布が、レベルIIを中心に分散した形になりました

　2005年6月に公開されたCVSS v1を各組織が実際の脆弱性へ適用し2年間運用してみると、脆弱性そのものの特性を評価するCVSS基本値（0.0から10.0の範囲に算出される）が特定の値に集中してしまう、また、低めの値を中心に分散してしまう等の課題が報告されていました。

　そこで、CVSS v2では、CVSS基本評価基準の全ての組み合わせから算出されるCVSS基本値の出現頻度が、CVSS基本値の中央を中心に分散するように、各評価項目の値や算出式が改善されました。

（中略）

　実際の脆弱性の深刻度分布も、深刻度の評価結果がレベルIIを中心に分散した形となり、CVSS利用者が脆弱性への対応の緊急度を、より迅速に意思決定しやすくなりました。

だそうです。

ちなみに、CVSSのv1はこのブログでも今年の6/23の記事（こちら）で紹介したばかりでしたが、今回のバージョンアップは上記のような問題点を解消したということですね。

ネットワーク検定

8/23の日経ITproの記事「今年もやります！ ネットワーク管理者の実力試し「ネットワーク検定」 」からです。

「ネットワーク検定」とは・・・

　日経NETWORKでは，昨年はじめてネットワーク管理者のスキルを診断する検定試験「ネットワーク検定」を実施した。Webで30問の問題を出題し，解いていただいた方にメールで採点結果をお知らせするイベントである。おかげ様でご好評いただき，今年も「ネットワーク検定2007」として実施する運びとなった。

　今年の参加ももちろん無料。すべての参加者には，9月中旬にメールにて得点をお知らせする。メールでは，自分の順位，平均点，ジャンル別の得点，問題ごとの正答率などを併せてお知らせするので，自分の「位置」や「苦手・得意ジャンル」などがわかるようになっている。

まだ挑戦していませんが、30分前後で終わるらしいので、ちょっと腕試ししてみるか。
ボロボロの点数だったらどうしよう・・・

●ネットワーク検定

Windows XPのOEMライセンス提供、2008年1月末終了

8/22の日経ITproの記事「マイクロソフト，Windows XPの正規OEMライセンス提供を2008年1月末に終了」からです。

（いまなお、いろいろ言われておりますが）いよいよ、Vista時代が到来するのですね。
ちなみに私のPCは、まだまだXPです。

ただし、なのですが、

企業では既存システムとの相互運用性の問題があるため，Windows XPを引き続き利用したい場合も多い。マイクロソフトではそうした用途に備えて，ボリュームライセンスまたはプリインストールで入手したVista Business/Vista Ultimateに対して，Windows XPに変更できるダウングレード権を設定する

そうです。

ダウングレードでセキュリティ、というより安心（何か問題があった場合の回避策があるということ）、を担保しているということでしょうか。

これならXPからVistaに移行できそうでしょうか。
さて、私は・・・
ただいま、検討中です。

全国縦断 情報セキュリティ監査セミナー

日本セキュリティ監査協会（JASA）のHPで公開されました。（こちら）
9/18の仙台を皮切りに、札幌、高松、広島、東京、名古屋、富山、大阪、福岡と開催されます。（東京は、12/19です）

開催の概要は、以下の通りです。（JASAのHPより抜粋）

（JASAの）これまでの活動を踏まえ、「情報セキュリティ監査制度」の一層の普及・啓発を目的に、民間企業、地方公共団体・公益法人のシステム統括部門、情報セキュリティ推進者や担当者、内部監査人などの方々向けに、「全国縦断 情報セキュリティ監査セミナー」を開催する運びとなりました。今回のセミナーでは、昨年度の委託事業の成果物である「情報セキュリティ監査手続作成ガイド」や「保証型情報セキュリティ監査の利用ケース」、「J-SOXと情報セキュリティ監査の関係」などのご紹介を通じて、情報セキュリティ監査のより一層の利用促進に向けて皆様と一緒に考えていきたいと思います。

ということで、情報セキュリティ監査の最新動向を知ることのできる内容になっています。

ちなみに私の登壇予定はありません。（情報セキュリティ監査では、これとは別のところで貢献する予定です）

CISA、CISMのIDカードとバッジ

このようなものがあることは、某CISAホルダーから聞いていて知っていたのですが・・・
実物の画像が、増田さんのブログ「情報セキュリティコンサルタントのお気楽Blog」の記事「登録証あれこれ」に出ておりました。

CISA、CISMのIDカードはプラスティック製で、1年ごと更新なのですね。
CISSPは、紙製で、3年ごと更新です。（ご存知なかった方、がっかりしないでください）

バッジは「CISA」「CISM」って、そのまんまなのですね。
わかりやすいですが、もうちょいデザイン性が欲しい気もします。

増田さんは記事で「正直言って着ける機会が少ない」と書かれています。
私はCISSPバッジをつける機会が、それなりに多いですね。
レビューセミナー、体験セミナー、CISSPフォーラムあたりで、ですね。

CISSPの認定証とIDカード、バッジの画像については、tksmsmyuさんのブログ「目指せ！SS」の記事「CISSP認定証」と「CISSPの襟章」をご覧ください。

運営機関によって、いろいろと違うということが（いままで以上に）わかりました。

「国際規格による情報セキュリティの保証手法」

いま、原稿（もちろん、情報セキュリティ関連）を書いている出版社の編集の方からいただきました。「（いま書いている原稿が）出来上がったら、こんな感じの本になりますよ」って。

ありがとうございます！

●「国際規格による情報セキュリティの保証手法―CC V3、ISO27002、ISO27005のポイントと具体例 (情報セキュリティライブラリ) 」

分厚いです。544ページあります。
「CC（コモンクライテリア）」を勉強するには、いい本です。

最近のIPAセキュリティセンターのサイトでも、続々とCC関連の成果が公開されてますね。

よし、本格的にCC（コモンクライテリア）を極めるか？！
でも、その前に原稿や記事（あれも、これも）を書かねば・・・

「じんざい」を考える

いま読んでいる本（『チーム・ビルディング―人と人を「つなぐ」技法 (ファシリテーション・スキルズ)』 ）の中のコラムに、「じんざい」には4つの種類がある、とありました。
（ちなみに、この本は講師スキル向上のために読んでおります。「チーム・ビルディング・ゲーム」ってのがありまして、これが研修・教育のグループ演習において役立つ技法なのです。詳しくは、またいずれ書きますね）

同じような話はどこかで何回か聞いたことがあるのですが、4つの「じんざい」とは

「人財」：何者にも替えがたい、その組織において「財産」というべき人
「人在」：「存在」がありがたい、その組織に利益（ｂｅｎｅｆｉｔ/profit）をもたらす人
「人材」：普通の人（可もなく、不可もなく？）
「人罪」：いることが不利益、「罪」といえる人

だそうで。（本とは、ちょっと表現を変えてますので、正確な引用ではありません）
この4つは、もちろん「いい順」に並んでます。

「さて、自分はどの「じんざい」かな？」なんて考えてみましたが、「人在」にはなっているかな？なってるといいな・・・
「プロフェッショナル」は、やはり「人財」でないといけませんよね。
ということで、まだまだ私の努力と精進は続くのであった。

でも、明日からはとりあえず夏休み！（おいおい・・・）

※ 追伸
次回の更新は、8/20または21の予定です。（夏休みなので）←しつこい！

「PDFスパム」が急増中、さらに「FDFスパム」・・・

日経ITproの8/10の記事「株価操作の「PDFスパム」が急増中、偽情報で実際に株価が上昇」からです。

この記事にもありますが、「PDFスパム」とは、

伝えたい内容をメールの本文には書かず、それらを記述したPDFファイルを添付する迷惑メール（スパム）のこと。多くの場合、本文は空白。これにより、本文から迷惑メールかどうかを判断する迷惑メールフィルター（迷惑メール対策ソフト）を回避しようとする。

というもので、いわばSPAMフィルターの盲点をついたもの。
（他にも、画像ファイル、音声ファイルなどもSPAMフィルターは回避されやすい）

現在の「PDFスパム」は、ほとんど株価操作を目的にしているようですが、このようなフィルター回避が（送信側にとって）効果的であれば、他の目的でもさらに使われてくるのでしょうね。

さらに、「FDFスパム」なんてのも。（8/13のITmedia「株価操作スパム、今度はFDF形式を利用」より）

※ 追伸
明日から1週間ほどは、更新頻度が低くなると思います。（夏休みなので・・・。と言いながら、更新してたりするかもしれませんが）

GoogleがStarSuiteを日本語版も含め無料配布

日経ITproの本日8/13の記事
「GoogleがWord，Excel，PowerPoint互換のStarSuiteを日本語版も含め無料配布」 からです。

なお、「Googleパック版のStarSuiteにはGoogle検索プラグインが追加され，StarSuiteの画面内から検索できるようになっている」とのこと。

さらに、「次のステップはおそらく（Web上のAjaxオフィス・ソフトである）Google Docs & Spreadsheetsと同期するプラグインの追加になるだろう。そうすればデスクトップで複雑なドキュメントを編集し，オンラインでセキュアに保存して他のユーザーと共同作業ができるようになる」（Google Operating Systems）らしいです。

やってくれますね、Google。さっそく、試してみようかな。
ますます便利で、うれしい限り！

セキュリティチェック便利サイト集

8/10の日経ITproの記事「PCやサイトのセキュリティを便利サイトでチェックしよう」 からです。

つまりは、過去の記事の編集のリンクなのですが・・・

以下のような不安の解消に役立つ便利サイトだそうです。

・怪しいドメイン？
・フィッシング？
・どんなサイト？
・迷惑メールの送信元は？
・引き渡すブラウザの情報は？
・ボットに感染？
・クライアントの設定は？
・クライアントの状態は？
・怪しいファイル？
・パスワードの強度は？

などなど・・・

いくつか試してみようかな。（もう試したことのあるサイトやツールもありそうだけど）

Not A CISSPバッジ？！

Scan NetSecurityの8/8の記事「速報! DefConの変化に見る、米セキュリティ事情の変貌」で、見つけました。

この記事中の「写真02」に、「Not A CISSPバッジ」が！

RSAカンファレンスでは、来場者のパスに「CISSPリボン」がつきますが、DefConではこんなバッジがあるらしいです。

もっとも、この記事によると、

「NOT A CISSP」のバッジは、いかにもDefConらしいテイストですが、これは某ベンダーにもらったもので、オフィシャルのものではありません。

ってことらしいですが・・・

IPv6移行、本格化へ

8/8の日経ITproの記事「IPv4アドレス枯渇の対策を検討，総務省で研究会が発足」
からです。

総務省で「インターネットの円滑なIPv6移行に関する調査研究会」の第1回会合が8/8に開催されたとのこと。

この研究会の目的は、IPv4アドレスの在庫枯渇に備えた対策を検討することで、検討の進め方については、

（1）枯渇時期予測フェーズ：
枯渇時期をなるべく正確に推測するとともに，アドレスが枯渇した場合に発生する影響を把握。
（2）枯渇対応方策検討フェーズ：
枯渇に対応するための選択肢をあぶり出し，それぞれの方策の利点・欠点や推進のための課題を検討。
（3）対策実施上の解決策検討フェーズ：
（2）であぶりだされた課題を検討するとともに，それぞれの組織が取るべきアクション・プランを議論。

の三つのフェーズで進めていくそうです。

いよいよ、IPv4からv6への移行が本格化していくのですね。

情報処理技術者試験「ストラテジスト試験」、2008年秋開始

8/3の日経ITproの記事「CIO向け国家試験「ストラテジスト試験」が2008年秋にも」 からです。

まず、この試験は、

・経営とIT（情報技術）」について深い理解を持ち、企業などのCIO（最高情報責任者）やそのスタッフ、将来これらの職務を担う人向けの試験
・ストラテジスト試験は、基本戦略系、すなわち新たなビジネスモデルの創出や業務効率化、内部統制の強化などのビジネス戦略を担う人材向けの試験

という位置づけだそうで。

で、試験の範囲は

詳しい出題範囲は今後詰めるが、「データベース」「セキュリティー」などの技術的な知識から、「プロジェクトマネジメント」「調達マネジメント」といったプロジェクト運営に必要な知識、「組織論」「企業会計」「知的財産権」「サプライチェーン・マネジメント」などの経営知識までを幅広くカバーする予定

目の付け所は良いと思うのですが、果たして対象と想定している層が本当に受験者層なのか、（何度も書いてますが、今度こそ）維持更新制は導入するのか、の2点がとても気にかかります。（たぶん、ほとんどの企業のCIOは受験しないと思います。受験するとしても「スタッフ」のほうでしょうね）
そこをはずしてしまったら、せっかく始めても目的は果たせないわけですから・・・

神戸に行ってきました

本日（正確には昨日）は、「情報セキュリティ人材育成セミナー ｉｎ 神戸」のため、日帰り出張してきました。
ここ2年でもっとも遠い外出です。（疲れた・・・）
私は「CISSP体験セミナー」の講師を務めてまいりました。

今回もなのですが、首都圏以外の地域での「情報処理技術者試験」以外の認知度の低さ、を感じさせられました。
CISSPも世界で50,000人以上、日本でも823人（7月現在）になりましたが、知名度はまだまだ。

そういう意味では、情報処理技術者試験の普及度、果たしている役割は大きいのでしょう。
それで、IT人材の育成や維持が十分かつ適切なのであれば、何も問題はないのですが・・・(さて？！)

これから、このような地域格差を埋めていかないといけないのでしょうね。

「政府機関の情報セキュリティ対策の実施状況に関する重点検査及び評価結果」など

8/3付けで、NISCから第13回情報セキュリティ政策会議の開催が報告されています。

その中で、新しく公開された資料は、以下のあたりでしょうか。

・「内閣官房情報セキュリティセンター（NISC）のこれまでの取組みについて」
・「政府機関の情報セキュリティマネジメントに関する評価結果」
・「政府機関の情報セキュリティ対策の実施状況に関する重点検査及び評価結果について～2007年度第1回重点検査の評価結果～」
・「情報セキュリティ政策における「具体的目標」の設定について」

「政府機関の情報セキュリティ対策の実施状況に関する重点検査及び評価結果について～2007年度第1回重点検査の評価結果～」を見ると、各府省庁の情報セキュリティ対策の実施状況がかなり改善されているように見えます。（結果は「端末」及び「Webサーバ」におけるいくつかの管理項目=重点項目のみですが）

しかし、まだまだ先は長いですね。（やることは、山積み・・・）

講師ラッシュ

実は今、講師ラッシュなんです。

8/1（水） 情報セキュリティ監査人トレーニング、CISSP体験セミナー
8/2（木） CISSPレビューセミナー
8/3（金） CISSP体験セミナー、情報セキュリティ監査人トレーニング

そして、
8/6（月） 情報セキュリティ人材育成セミナー in 神戸 → 日帰りです
8/8（水） CISSPレビューセミナー

土・日や他の平日も、某書籍（詳細は近日、ご報告します）の原稿執筆や会社の人材育成の業務などでいっぱいです。
とりあえず、8/10（金）で一段落着きそうですが・・・

気力と体力で、がんばります。

過剰反応と可用性（2）

前回の記事で書いたとおり、機密性に偏ったリスク対応は、可用性を低下させます。
可用性の低下とは、ビジネス機会の損失だけでなく、事業継続性の低下を招きます。
これは大きなトレードオフです。
また事業継続性の低下の影響は、自組織だけでなくその関係者にも大きく波及することがあります。

インシデントやディザスターが発生した際の代替策がなくなりますし、復旧や回復力も失います。
情報セキュリティが「事故（災害）発生前提」「事業継続性重視」であることがわかっていないと、機密性に偏ったリスク対応（最悪のケースは安易な「リスク回避」）をしてしまうのでしょう。いや、わかっていても「情報漏洩」という「恐れ」のあまり、それを解消するためにそうしているのかもしれません。

（以前も書いたような気がしますが）「恐れ」の解消は「安心対策」です。リスクが低減されていなければ「セキュリティ対策」ではありません。
そして「恐れ」を解消しても、リスクはなくなることはありませんし、だからどうしても「事故（災害）」は起こります。
なぜ、可用性が重視されるべきなのか（可用性が失われることにより、自分たちの組織と関係者にはどのような影響があるのか）を考えて、そこからセキュリティを見直すべき組織は多いはずです。

過剰反応と可用性（1）

本日は先日の記事の続き、という内容のお話を。

一般的に機密性を高める対策は、可用性を低下させます。
よく「情報セキュリティのCIA（機密性、完全性、可用性）」というが、これら3つをすべて高める対策というのは現実的には困難であると考えなくてはなりません。
つまり、「情報セキュリティのCIA（機密性、完全性、可用性）」の中でも、トレードオフ（「あちらを立てれば、こしらが立たず」ということ）があり、そのバランスが必要になるということです。

また「リスク対応」といえば、
・「リスク低減（最適化）」
・「リスク移転」
・「リスク回避」
・「リスク保有」
の4つに分けられますが、リスク対応の中にもトレードオフがあります。

特に「リスク回避」はそのトレードオフとして可用性や効率性の低下を招きビジネス機会の損失を、「リスク保有」は直接損失のほか風評被害などの間接損失を発生させます。

にも関わらず、多くの情報漏洩対策は「機密性」だけに焦点が当てられ、「リスク回避」の対応がとられていることが非常に多いようです。
（自組織や同業者にノートPCの紛失があれば、「ノートPCはもちろん全ての電子媒体の持ち出しを禁じる」というような対応）
そして、このトレードオフは、対応の主体の組織だけでなく、その関係者（ステークホルダー）にも影響を及ぼしている場合があります。

それでも「機密性」「リスク回避」偏向の対策・対応でいいのでしょうか？

個人情報保護過剰反応対策の必要性

7/30の日経ITpro「個人情報漏えい事件を斬る（100）中越沖地震が教える過剰反応対策の必要性」という記事からです。

話題になっている「個人情報保護過剰反応」問題に対する対策が、「災害時要援護者」の支援・対策という視点から書かれています。「防災・減災から学ぶ個人情報の保護と活用のあり方」ということろでしょうか。

とにかく過剰反応で、人命を危険にさらしたり、漏洩の損失以上のビジネス損失を招いてはいけません。（漏洩を恐れるあまり、それ以上のリスクを招いているのでは何もならない）

・災害時要援護者対策

・災害時要援護者対策の進め方について（報告書）
１　市町村の取組におけるポイントと対応方策（PDF:956KB）
２　時系列的な災害時要援護者支援活動のフローチャート（PDF:76KB）
３　取組事例（PDF:2020KB）
４　参考資料（PDF:3617KB）
５　災害時要援護者対策とは（PDF:61KB）
６　災害時要援護者対策の進め方（概要版）（PDF:21KB

・災害時要援護者の避難支援ガイドラインについて
災害時要援護者の避難支援ガイドライン（PDF：153KB）
別添資料（PDF：965KB）
災害時要援護者の避難対策に関する検討会　検討報告（PDF：133KB）