セキュリティーはどうやったら担保できるというのか

 

きちんと考えてみたいUSBメモリー紛失の件。

 

xtech.nikkei.com

 BIPROGY(旧日本ユニシス)は2022年6月24日、兵庫県尼崎市の全市民情報が入ったUSBメモリーの紛失に関して、記者会見を開いた。平岡昭良社長はUSBメモリーの紛失を巡って「緩みというか、慣れに起因しているのではないかと思っている」と話し、ベテランの作業や協力会社などとの関係を省みた。

 

「緩みや慣れ」が起因すると、現場のルールが守られなくなると言うことか。

BIPROGYにしろ、今回の協力会社にしろ、ISO27001(ISMS)もISO9001(QMS)も両方取得している。セキュリティーや、品質を守るためのPDCAをしっかりまわしているから、持続性が担保されるよ、という意味である。

ISOの取得・更新に関わった方はわかると思うが、これがお札として掲げてあれば、全てインシデントは起きない、というものではない。

ルールがあったって、人が守らなければ意味はない。ルールをいかに全社的に浸透させ、問題が起きたら省みて改善する。この営みを示すのがISOの目的である。

BIPROGYがいくらしっかりしていても、協力会社がやってはねぇ・・という声も聴こえるが、両者ともISOを取得しているからこそ、この問題がややこしい。

緩みや慣れでこのレベルのインシデントが発生するのなら、ISOを取る意味ってとても限られないか?という話である。そもそもその緩みや慣れを検出するための内部監査や外部監査ではないのか。

よくある。ISOを取得していると、コンペや入札に入れてもらえると。そのための免許にしか過ぎず、目的が見失われているケース。

尼崎市としても、ISO27001やISO9001を取得しているBIPROGYだからこそ委託した仕事である。そして、BIPROGYも協力会社がISO27001やISO9001を取っているから、仕事を卸したんだと思う。

これは緩みでも慣れでもない。そもそもシステムの運用設計として、USBメモリーでなぜデータが取り出せるようになっていたのか。機構としてUSBメモリーの認識を禁止しなかったのか。機微な情報を持ち出されたときに自動検知し、第三者に自動的に知らされるようなプログラムは導入できなかったのか。

ISO27001のレベルでは、リスク資産としての全市民の個人情報の存在を評価したときに、「USBメモリーで持ち出しができ、それが紛失した時の損害の見積」なんて話はなかったのか。無いのがおかしい。だって、リスクはそこにあり、今回発現したのだから。なぜ、リスクを見積もらなかったのか。もしくは許容したのか。

ISO9001のレベルでは、USBメモリーの持ち出しがワークフローに入っているとしたら、その時点でリスクのある手順であることが見抜けただろう。またそれをすり抜ける行為があるとしたら、形ばかりの品質維持計画ということになる。

内部監査といい外部監査といい、危険なリスクの存在を具体的にわかっていたのか。もし、監査のレベルで今回の状況をちっとも予見できていないとすれば、取得するだけしておいて、何の機能もしていないという話になりかねない。

ISO監査の現場においては、指摘が多いとその後のリカバリー作業が増えるので、できるだけ現場の情報を抽象化したり、しっかり書けるところだけ書いて、余計なことは伝えない、知らないを貫くみたいな現実もある。取得するのが目的になって、問題点の洗い出しは全部済ませて、あたかも何も日々問題がないようなお化粧をして、監査に臨む。

ということもあり、今回のような事例を聴くと、ISOは抑止力どころか、単に「やってるふり」なのかもしれないな、なんて思う。社内の問題行動をいち早く気づけるとともに、懲罰的な対応をせず、問題点を言いあえて改善できるような風土は、私の知っているISO活動じゃない。表向きはしっかりやっているように見えて、実は裏側ではルーズ。そんな現場が多いんじゃないかと危惧してしまう。