毎日のように個人情報漏洩の話を聞く。そのたびにセキュリティー設計が悪いとか、経営者が悪いとか、いろんな原因分析がなされるが、根本解決は難しいよなと毎回のように思う。

特に内部流出に関係する案件は考えさせられる。そもそも人間自体にメモリー機能が付いているので、情報はある程度外部へ持ち出し可能である。業務上知り得た情報で、かつ秘密情報と定義されている情報、なんていくらでもおぼえているだろう。そしてある日転職し、他の企業に移ったときに、情報を依然として保持しているのである。経験があるから採用した、なんて中途採用の動機で、その経験の中に秘密情報が入っているのも採用側はわかりきっている。人を採用することで他社の秘密情報を獲得したいというのが見え見えなのに、みんな知らんぷりをする。

またIT業界だと、プロジェクトごとに顧客が異なるため、特に常駐などすれば顧客の秘密情報がどんどん入手できる。転職したことはないのにたくさんの会社に潜り込めて、いろいろな情報を取得し経験にすることができるので、あれはあれで良い側面もあるなとは過去思ったことがある。

どんなにシステム的に権限管理を細かくしたところで、アクセスできる権利がある部分の情報は盗まれたのと同然だ。それをデジタルメディアに大量保管しようものなら、複製可能、持ち出し可能となりリスクは高まる。たいていの会社はUSBポートを読み取り専用にするなどしてしのいでるんじゃないかな。

ところが、最近は大容量インターネットにつながることが簡単で、ゆるい会社だとインターネットにつなげてデータ転送ができる。これじゃダメだ。会社自体に大容量メディアが接続され、かつ外から覗き放題みたいなものだ。

さすがにそれは・・ということで社内プロキシなどを入れ、アップロードを制限するような会社もあるにはあるだろうが、だとしてもモバイルノートとスマホのテザリングなんて組み合わせで社内システムにアクセスされたら、結局の所やり放題じゃないかな。

あとは家にノートパソコンを持ち帰って、家のWiFiにつないだり、家の自宅PCにデータをコピーしたりできるとすれば、それもまた、穴だらけかと。

世界全体として情報の機密性を担保するのって、基本的に無理なことなんじゃないかということを前提としてセキュリティーを考えるほうが、まだ現実に即していると思う。

よく例えられるのが、家を建てるとして最も安全なのは入口を全部塞ぐこと。そうしたら誰も中に入れない。ただし、誰も利用することもできない。中にアクセスできない箱になる。それじゃ困るからということで、穴を開ける。１つの穴じゃ足りないから、２つ３つと穴を開ける。全部の要件を満たすと穴だらけになる。

技術者としては、

・どう穴を開けるか

・誰が入っていいことにするか

・入ったことをどう記録するか

このあたりを気をつけるしかないのだが、この二番目、誰が入るかについては、案外技術者にはどうしようもない部分がある。

派遣契約や請負に紛れてとんでもない人がアクセスしてくる可能性もあり、技術者が人となりまで確認してはいない。だから、「ヤバい人」が来てヤバいことをされたら、どんなに技術をはりめぐらしていたところで、大した抑止力もないのである。前述したとおり、人間として記憶もできることだし。

会社の外に出るときに記憶を抹消するような機械でも開発しない限り、かなり無理。しかもリモートワークなんかされたら、画面をカメラで取ることは少なくともできる。

この手の話は20年くらい前から思ってたけど、モバイルやネットワーク、ストレージがどんどん進化してしまって、技術者も内心お手上げだと思っている人が多いんじゃないかと思っている。

技術で守るんじゃなく、もし人間が過ちを起こしたら、ちゃんと罰則を設けて、法的に人間の行動を抑止するしかないんじゃないかな・・って判断するのが標準だと内心思っていたところがある。

究極を言えば、

・ヤバそうな人をプロジェクトメンバーに入れないこと

・ヤバい人の行動が見えやすいようにしておくこと

・チームメンバーがチームに関心を払いリスペクトする文化を作ること

なのかな。変なことが起きるとみんな困る、という雰囲気は大切よね。マネージャーがやセキュリティー技術者が悪意を全部気付けるはずがない。

全然技術的な話じゃないけど、特に内部犯行的な話は、人間的な視点を持たざるをえない。