これは生々しい。
尼崎市は、本日28日に同調査委員会から受けた答申の中で、本件事案における市民の皆様の個人情報の漏えいは確認されなかったとの報告を受けました。
詳しくは添付「調査報告書」をご覧ください。
業界関係者の方々、ぜひこの報告書は読みましょうね。きっといたるところで引用される話になると思いますよ。
私は、このインシデントの関係者が、特段特別だとは決して思いません。誰でも巻き込まれる可能性があります。自分が望んでいなくても。
こういう事件は、何か特別な企業で特別な場所で特別なスキルで特別な性格の人が登場すると思われがちですが、とんでもないです。普通の企業で普通の場所で普通のスキルで普通の性格の人が巻き込まれるのが特徴です。だからこそ、巻き込まれるのです。舞台設定として明らかに危険そうで危険な人物で危険なデータで・・という察知ができていれば人間、そんなに踏みません。油断を助長するような要素があるのがポイントです。ところが、そんなありふれた風景が全国ニュースまで行ってしまうので、セキュリティーが必要な仕事というのは重要性が軽んじられている割には、えらく大事なことのように私は思います。
インシデントは穴があって、そこに人が落ちることで顕在化します。この穴はいつできるのでしょうか。大概は他人が作ってます。「穴に落ちないようにすること」というルールが暗黙の了解のようになっているところがほとんどです。「気をつけること」ともいいます。気をつけるでインシデントが防げるなら苦労しないよ、そのとおりです。そして、報告書には必ずこう書かれています。「穴はふさぐこと」。そりゃそうなんですが、それって家を作って入口も窓もないようなものです。穴はふさぐのかもしれませんが、大抵、新しい穴をつくることになるのが現場というものです。
穴は他人が作るもの。ということは他人に警戒せよ、ということです。他人を信用してはいけない。変な言葉ですがセキュリティーの分野では重要な概念だと思います。飲みに誘われなければ泥酔はしなかった。本当の穴は、重要情報を持っているのに飲みに誘ってくる他人です。穴に入ったのは自分ですが、他人に穴に連れてこられたとも言えます。
また、当事者も、作業手順のずさんさを気づいていましたが、ずさんでいいという指示を受けていたような記述も見えます。これも「上司がそういうんだから仕方がない」ということで、穴に飛び込む図式です。
セキュリティーインシデントについては2つしかないと思っています。
(1)確信を持った不法行為
(2)無知から来た過失
過去には(1)も複数ありましたが、この件は(2)だと思います。無知って、ほんと怖いと思いますよ。悪意が全然ないんですもの。なのに、この報告書を見てください。すべて洗いざらい調べられて報告される。そうなんです、無知だったからと免罪されることはないんです。もし、巻き込まれたくないなら、無知でなくなることです。セキュリティーの勉強、身を守るためにしましょう。他人なんて信じちゃだめです。自分の身は自分で守る。マネージャーなら自分の部署。社長なら自分の会社。主体性が大事であり、かつ自分が無知ではないかを日々恐れ、情報収集をすることが大事です。じゃないと、他人の無知を見抜けず、穴に吸い込まれることになってしまいます。
特に、マネージャーも無知、担当者も無知、そしてお役所も無知。無知の三段活用から生まれる積算の破壊力は甚だしい。どこかにセキュリティースペシャリストがいれば、「この環境・この手順・このメンバーではいつか大きな問題が起きる」と悟ったはずです。
また、いつ悪意が入り込み(1)が起きても不思議ではなかったということも言えます。ただ、(1)の問題って結構大変なんですよね。どんなにセキュリティー教育しようが本人の心の中まではわからない・・。だからこそ、極力穴を作らないセキュリティー設計というのは重要になります。穴を開けてはならない、では仕事になりませんから、穴を最小限開け、開けたことをきちんとモニターし、利用した閉める、みたいな面倒な話になりがちなので、まぁセキュリティーの話をしだすと、ほとんどの人は退屈な表情をします。
という人間模様を知る意味でも、誰もが読むべき報告書だと思います。
