1. 情シスも知っておきたい「リスク」の話
秋と言えばサンマ。脂がのった焼き立てのサンマに、大根おろしと醤油でパクリと一口。新鮮な刺身も美味しい。サンマの構造は背側が濃い青色、腹側が銀白色になっている。これは上からは鳥などから、下からは大型の魚類に見つかりにくくするためらしい。
秋は仕事上では、次年度予算計画の立案、年度後半のスタートなどで多忙な時期でもある。多忙な中でこそ忘れてしまいがちなリスクに関する知識を情シスにも持ってもらいたいと思い、NHK時代に取り組んできたことを書いてみた。ぜひ最後まで読んで欲しい。
2.「不確実なこと」の洗い出しから始めるリスク管理
事業成長にはIT活用の機会が非常に多く存在し、依存することになっているが、莫大な量のリスクも存在している。もし自社で活用しているIT環境が突然崩壊したり、機能しなくなったりした場合、その影響を考え、経営層に話ができるだろうか。その影響をわかっているつもりでも、誰がそれを担当するのか、他人事のようになっている会社が多いかもしれない。
システムをリリースする場合、現行システムへの負荷、運用のアセスメントを行い実行しているが、リスクに関しては「どう対処していいのかわからない」という方も多いと思う。リリース前の多くのテストを経て完璧に作られていたと思っても、いくつかの条件が重なることや、予期しない出来事によって利用できなくなりリリースバックを行った経験がある。
アセスメントとは別に「リスク」について考える必要がある。それは、「危険な何か」を見つけるのではなく、「不確実なこと」の洗い出しが大切だということである。しかし、リスクの洗い出しを行うと、膨大な量のリスクと範囲の広さに驚く。これらにどう対策し、改善につなげたらいいか、リスクの管理方法(リスクマネジメント)についてお話ししたい。
リスクマネジメントとは、調査した後に解決する目標を自ら決めて実行することである。まずは具体例として、リスク事例を紹介したい。
3. リスク事例【1】…ネットワークに接続できるIT機器を把握できなかった場合
情報セキュリティの観点からリスクを考えてみる。例えば、情報セキュリティインシデントについて考えた場合、データ窃取のような情報の機密性に影響する侵害行為と、破壊的なサイバー攻撃がある。こうした攻撃の多くは企業全体のネットワークを破壊し、業務がストップしてしまうオフライン化を引き起こしている。マルウェアによる侵害を調査していくと、その目的はデータの窃取であれ、破壊であれ、侵入できたルートがある。このルートが十分管理できていなかったため侵入されたり、データ窃取の出口として利用されたりする。
リスク調査は、ネットワークに接続されているPCの把握から始まる。もし把握できていないPCがあれば、サイバー攻撃に遭っても調査が困難になってしまい、復旧作業に影響する恐れがある。システム停止に陥ってしまうことを防ぐためにも、ネットワーク機器の在庫管理・資産管理は必要で、これができているかがリスク項目であり、なぜできないかを考えていくのがマネジメントになる。前職(NHK)では、ネットワーク破壊まではなかったが、端末への被害を経験すると、IT運用への知識不足や運用ルールが守られていなかったことに気づく。
端末への被害に遭ったユーザに質問すると「特に変なメールを開いていない」と言う。何度かヒアリングを繰り返していると、なんと「古くなったパソコンを研究調査のためネットワークに接続し、使い終わったら毎回ネットから切り離していた」ということがわかった。本人には悪気はなく、「別にアプリを起動するわけでなく、ブラウザの閲覧のみにしか使わないので問題はない」と思っていたそうだ。使えるPCを捨てるのが「もったいない」という言い訳もしていた。改めて運用ルールを周知したが、困ったものだ。
この事例でおわかりだと思うが、把握できていないIT機器がどれだけあるか、潜在的リスクの増加に対処できるように取り組まなければならないということである。
4. リスク事例【2】…見落としがちなビル管理システムのリスクを総点検し意識改革へ
ビルの管理システムもサイバー攻撃に遭う危険性があり、セキュリティ対策が必要である。具体的な対策を検討するためのリスクを洗い出してみる。
- ■インターネットの出入り口対策
- ビル管理システムの外部であるインターネットと接続する際は、ビル管理に関係のない通信を遮断する対策をしなければならない。そのための監視機能は備わっているか?
- ■どのくらい対策ができているのか、現状を確認する
- すでにセキュリティ対策を行っている場合、サイバー攻撃への備えが現状でどのくらいできているのか?
- ■使用している機器やソフトウェアを把握する
- インターネットに接続していないからといって、未だに Windows XP を使っている現場を見たことがある。リスクを特定するために機器やソフトウェアの資産管理ができているか?
- ■定期的に機器設定データのバックアップを取得する
- 機器の故障時やサイバー攻撃によるデータ破損の際に復元できるように、データのバックアップ取得を行っているか?
これらの項目が全てではないが、前職(NHK)では、ビル管理システムの調査を外部にお願いして、調査結果からリスクを洗い出し、改善に向けて対策を行ったことを覚えている。調査を行ったおかげで、異常発生時に「サイバー攻撃」を疑うように意識改革ができた。
この時、意識改革が目的の1つであった。その理由は普段からサイバー攻撃に関する勉強会を行ってきたが効果がなかったためだ。システム障害を、単純に機械が壊れたと思い込んでしまうと被害は拡大しかねない。これ以降、障害対応マニュアルの中にサイバー攻撃も想定した対応手順も入れてもらえるようになった。
5. まとめ〜リスクマネジメントは着実に実施し続けることが大切
なぜ、情報システムのリスクをマネジメントしなければならないか、その理由を何となくは理解できてきたのではないだろうか。しかし、情シスがどこまでやるべきか明確に決めておくべきだ。
リスクマネジメントができたからといって、事故に遭わないわけではない。リスクの範囲は広く、解決する目標を自ら決めて実行することが何よりも大切だ。誰もやらなければ重大な事故につながることを想像した場合、誰かが対応しなければならない。バランスよく効率的で負担の少ない方法を、着実に実施し続けるマネジメントができればベストである。
情報セキュリティインシデントの発生によるブランドダメージの度合いは、その企業が属する業界によって大きく異なる。例えば、サイバーセキュリティ企業は、自社でサイバー侵害インシデントが発生し、それが公になった場合のブランドダメージについて、真剣に考慮する必要がある。前職(NHK)においても、この部分は重要だった。
どんな業界においても、顧客の信頼と信用が基本資産であることに変わりはない。情シスにしか思いつかないリスクは、ITを使った業務であればあるほど、会社経営に直結している。些細な問題であっても懸念事項として捉えるべきではないだろうか。
<< 関連コラムはこちら >>
■Withコロナで気がついた、テレワークの継続を前提とした将来の情報システム運用
■情シスに求められるスキル! 聞き手が耳を傾けるプレゼン力を身につける方法
■アフターコロナの時代は情シスの大きな転機になる~チャンスを生かし、今すぐ実践できること~
■目標設定と成功するためのタイムマネジメント「時間管理」について
■システム障害は、「気の流れ」が変わった時に発生しているのではないか
■情シス部門の必須知識! 経営層の理解を得て予算を獲得する方法
■デジタル変革(DX)に求められる人材はなぜ確保できないのか?
■テレワークによるコミュニケーション不足解消と、メンタルヘルスケア
■組織で挑む、ヒューマンエラー抑止(全1話)
■情シス業務の醍醐味(全3話)
■有事に備えよ!(全3話)
■著者紹介■
熱海 徹(あつみ とおる) 氏
1959年7月23日、仙台市生まれ、東京都在住
40年近く日本放送協会 NHK に籍を置き、一貫して技術畑を歩んできた。転勤の数は少ないが、渡り歩いた部署数は軽く10を超えている。その中でも情シス勤務が NHK 人生を決めたと言っても過言ではない。入局当時は、放送マンとして番組を作るカメラマンや音声ミキサーに憧れていたが、やはり会社というのは個人の性格をよく見ていたんだと、40数年たった現在理解できるものである。20代の時に情シス勤務をしたが、その後に放送基幹システム更新、放送スタジオ整備、放送会館整備、地上デジタル整備等、技術管理に関する仕事を幅広くかかわることができた。今まで様々な仕事を通じてNHK内の人脈が自分としては最後の職場(情シス)で役に立ったのである。考えてみたら35年は経過しているので当たり前かもしれない。2016年7月には自ら志願して、一般社団法人 ICT-ISAC に事務局に出向し、通信と放送の融合の時代に適応する情報共有体制構築を目標に、放送・通信業界全体のセキュリティ体制整備を行った。ここでも今までの経験で人脈を作ることに全く抵抗がなかったため、充実した2年間になった。私の得意なところは、人脈を作るテクニックを持っているのではなく、無意識に出来ることと、常に直感を大切にしているところである。