サイバーセキュリティー最高責任者のITリテラシーが低いという問題
サイバーセキュリティー基本法という、2016年に制定された法律があります。
これを所管する最高責任者であるサイバーセキュリティー担当大臣は、パソコンを全く知らない、と言うことが話題になっています。
「判断をするだけだから細かい知識はなくていい」なんて擁護の声もあるみたいですけど、基礎知識を持っていることと、学習意欲を持っていることの2つは必須なんじゃないかと。なのに、大臣になってもいまだにパソコンを触る気がなさそうってのは、さすがにまずいかな、、、と。
サマータイムもですけど、ある程度の知識がないと正しい判断ってできなかったりしますよね。例えば、USBを全部使えなく(※3)したら、タブレットとかの充電もできなくなっちゃいますし。民間企業でも無知な人が判断をすると大変なことになりますからね、、、大塚家具(※4)とか。。。
これは、要約すると、ITリテラシーの無い人物がセキュリティー政策のトップであっていいのかどうか。という議論です。ITリテラシーとは、下記の意味です。
ITリテラシーとは、簡単に言えば通信・ネットワーク・セキュリティなど、ITにひも付く要素を理解する能力、操作する能力という意味です。
セキュリティーと言えばISO27000シリーズもしくはISMSというワードなどで、一般の人も重要さが広く認知されている分野です。いろいろな取り決めやベストプラクティスも多いですし、最近は企業活動でも、eラーニングなどで全ての就労者にセキュリティーの基本を一年に一度など定期的に教育しているところが多いです。日本はセキュリティー意識は他国と比べても高い方だと思ってきました。
なぜ、セキュリティー機関の政府トップがITリテラシーが低い、という事象が起きてしまうのか、一般の人は不思議ではないでしょうか。
また、セキュリティーの事件が発生するたびに積極的に論説を行ってきたセキュリティー関連の有名人が、この件にはあまり発言をしていないのはなぜなのでしょうか。サイトブロッキングの議論においてはかなり活発な議論が生じていたと思うのですが。
平たく言えば、国内外に向けて、サイバーセキュリティーの最高責任者はIT素人ですよ、と喧伝しているようなものですから、セキュリティーホールそのものです。議論すべき問題ではあると思います。
私は、サイバーセキュリティー基本法で初めて制定された、2020年までに3万人の有資格者を目標としている「情報処理安全保護支援士」の1名であり、オンライン研修や集合研修を受けた立場から、今回の事象を推察しておきたいと思います。
セキュリティーの基本的な考え方
セキュリティーの基本的な考え方をまとめます。
企業は必ず経営者がいます。
しかし、セキュリティーを実働するのは経営者ではなく、CISO(Chief Information Security Officer 最高情報セキュリティ責任者)です。経営者はCISOを任命し、CISOが企業のセキュリティーに責任を持ちます。
CISOは、企業内にセキュリティー事務局を確保したり、各部門にセキュリティー担当者を配置したりとセキュリティーを運用する体制を構築します。
CISOは経営者に対して定期的に、経営者に運用方法や最新の状況を行います。
経営者はCISOの報告をレビューし、承認して一つのフローが完結することになります。
これがセキュリティーの基本的な考え方です。
つまり、経営者は、セキュリティーに明るい人物をCISOに任命し監督することが重要な役割です。CISOは倫理を守って高度な能力を発揮することが重要です。この状況において、経営者が、セキュリティーの専門家である必要は全くない、のです。
そもそも、セキュリティーの専門家でないと経営者になれない、となると経済的な側面から言えば破綻してしまいます。経営者は、基本的には企業の資本でセキュリティーの専門家を確保し企業を守るのです。正しくCISOがセキュリティーを運用しているかをチェックするのが経営者の役割です。もちろん専門家ではありませんので、経済情勢や経営状況を見ながらどれぐらいの負担ができるかを判断し、CISOに予算を付けたり社内リソースの勘案に承認を下していきます。
セキュリティーと、経営者と、CISOの関係を明らかにしました。
今回の大臣人選についての推察
さて、今回の問題です。
今回の桜田大臣を擁護する立場としては「判断をするだけだから細かい知識はなくていい」というのが大きな意見の一つだと思います。
この発言は、完全に上記のセキュリティーの基本的な考え方における、経営者目線なんですね。CISOおよびその体制は専門家に委ねるということになります。
さて、日本におけるセキュリティーの最高機関は内閣官房セキュリティーセンターです。このセンター長がCISOということになります。現在のセンター長は、防衛庁出身である内閣官房副長官補の前田哲氏です。
前田氏の経歴の通り、日本の防衛に深く精通されている官僚の方で、個人的にはCISOとしては非常に能力のある方ではないかと考えています。サイバーセキュリティー基本法が2016年に施行され、複数の省庁に分散していたセキュリティー関連の部署が内閣官房セキュリティーセンターをコントロールセンターとするようになりました。そして、国家としてセキュリティー人材を確保すべく、情報処理安全確保支援士を制定し2018年10月現在で1万7000人の登録を達成しています。
そして、サイバーセキュリティー担当大臣は、この内閣官房セキュリティーセンターが日本のセキュリティーを正常に運用しているかどうかを、政府(経営者)目線でチェックする目的で存在する。だから矛盾していない、とこういうお話だと思います。
セキュリティーの基本的な考え方からは逸脱していないので、今回の大臣人選は成り立ってしまっていると言えると思います。
ちなみに、経営者もCISOに任せっきりにならず、世間一般のセキュリティーの事象には注意を払い、リスクが高いものについては積極的にCISOにヒアリングを実施し対応を促すこと。こういう指摘もセキュリティーの基本の一つですので、結論としては、桜田大臣、ちゃんとセキュリティーに興味を持って常日頃から情報収集を行っていただき、適切に内閣官房セキュリティーセンターに指示や報告を求めることができるようにしましょう、ということになると思います。
セキュリティーの基本的な考え方に潜む明確な弱点
セキュリティー周りの情報を整理するにつけ、この基本的な考え方に対しては明確な弱点があることに気が付いています。
最高責任者であるCISOは、経営者より権限が下であることです。
つまり最高責任者のセキュリティー逸脱をCISOは止めることができないということです。
社内のセキュリティールールはこうこうで、社員全員遵守しているけれども、社長や会長だけはこうしている。俺の会社だから文句あるか。こんなやりとりにつながってしまうルールだということです。
日産の事件が今後どうなるかわからないのですが、なぜあんなにガバナンスがしっかりしていそうな企業が、こんな状況にとお思いになる人は多いでしょう。
ロジックは全く同じです。最高責任者より権限を持っている人を統制することは、絶対にできないということです。
ですから、経営者がリテラシーを持たないことによる最大のリスクは、経営者が統制を外れたことをしても誰も止められない、ということです。
一応、会社法においては取締役会がその役割を担うことにはなっていますが、社会のいろいろな事件を見るにつけ、完全に機能しているとは言い難いと思います。
ということで、サイバーセキュリティー基本法の最高責任者がパソコン未経験者でも成り立つ理由をご説明しました。国民には「選挙」という権限がありますので、現行の体制に対する評価は、選挙の際に意思を表明いただくしかないかと思います。まだ会社経営よりはどうにかする手段がある、と思います。