立て続けに、セキュリティー事故が起きている。
東京電力柏崎刈羽原子力発電所(新潟県)で侵入者を検知するテロ対策設備に重大な不備が見つかった問題で、原子力規制委員会は24日、定例会を開き、原子炉等規制法に基づき、東電に核燃料の移動を禁じる是正措置命令を出す方針を決めた。長期間にわたり第三者が不正に原発内に侵入できる可能性があったことを重く見た。
松井証券の顧客口座から現金を不正に引き出したとして、警視庁サイバー犯罪対策課は24日、電子計算機使用詐欺などの容疑で、システム開発会社「SCSK」(東京都江東区、東証1部)の元システムエンジニア(SE)、相根浩二容疑者(42)=同日付で懲戒解雇、世田谷区弦巻=を逮捕した。「業務で顧客のデータを自分のパソコンに入れたかもしれない」と話し、詐欺については否認しているという。
無料通信アプリ「LINE」が、中国にある関連会社にシステム開発を委託するなどし、中国人技術者らが日本のサーバーにある利用者の個人情報にアクセスできる状態にしていたことがわかった。LINEはプライバシーポリシーでそうした状況を十分説明しておらず、対応に不備があったと判断。政府の個人情報保護委員会に報告する一方、近く調査のための第三者委員会を立ち上げ、運用の見直しに着手する。
ここ数日の間に報道された話としては、一件一件が濃すぎる。利用者の立場で考えればとんでもない案件ばかりではないだろうか。
なぜ、そんなことができる状態にしてしまったのか。セキュリティーが保証されていない状態が発生していることは、おそらく現場の担当者は気が付いていたはず。
それぞれのケースを具体的に考えても、もし自分が現場にいたとしたら、「あそこがああなっているのは、おかしいですよね?。今なんとかしないと、とんでもないことになりますよ?」と声を上げるに違いない。
でも、残念ながらそうはならず、結局は第三者にそれを指摘されてはじめて、事件になった。
東京電力の件は、原子力規制庁の検査が発端となっている。
松井証券の件は、事件が明らかになった後の調査で発覚している。
LINEの件の件は、朝日新聞の取材が発端となっている。
つまり、現場にセキュリティー不備が存在したとして、その現場自身が自浄作用を持っていなかったと言える。
それは、運用保守を担当するメンバーの能力不足なのだろうか。それともそれを統治する経営のガバナンスが不足しているのだろうか。
おそらく、この二つは指摘されるだろう。どちらが欠けても問題は起こる。
しかし、私が最も感じていることがある。保守に対して、日本はお金を削る傾向にある。それは売上に対して固定費を減らせば利益が生まれるので、とにかく固定費を削るというのが経営者が利益を出すためのセオリーとなっているからである。
しかし、だ。
保守に対して汗を流しても、何も問題が無ければ過剰人員だとして、すぐ人を減らされる。何も問題が起きないことに対する評価が低い。何も起きないと、何もしていないことと同義とされる。だんだん何かすること自体が無駄と取られるようになる。そうやって、保守に携わる職員や現場のことをないがしろにする文化がある。
そうすると、保守要員の品質は悪化する。
スキル上の悪化だけではなく、生活が苦しいなど、待遇上の問題も起こる。何しろ生活水準が保証されていなかったり、昇給がなかったり。そしてそんな状況に、優れた人も集まりにくいので、倫理的に問題を抱えた人も現れる。
私はセキュリティー事故のことを思うたびに、そういった人間系の問題のことについて触れられないことが気になっている。保守担当者とは、大事な資産を保って守る人のことだ。大事な資産なのに、なぜその保守にはお金をかけないのか。
もっと、保守担当者が、一生食いっぱぐれない安心感--最近だと心理的安全性と言われる--を持てるような仕組みにしないと、これは初期構築する人間ばかりが脚光を浴びてしまう。
今後、情報資産の価値はますます向上し、それを扱う保守担当者は、より人格に優れ、スキルを持ち、判断力に優れる人が重要になってくる。どんなに経営がガバナンスを利かせたところで、ITの専門的な領域まで思いは浮かばないと思う。結局は現場力となる。だからこそ、事業継続性を考えると、これからは保守に投資をするべきだと思う。新サービスばかりを追いかけて、既存資産が全く守られていない、ではセキュリティー事故は起こるべくして起こる。
守る人、保守担当者にもっと価値を与え、誇りを持って守ることができるような施策を取らないと、どんな会社も未来はない。
