BCPというと、「大変なとき」を想定した対策や体制を考えますが、それは地震などの災害を想定した場合であり、地震では発令と同時に復旧が始まります。しかし、新型インフルエンザでは、BCP発令初期段階はそれほど深刻ではなく、その後にピークを何度か迎えつつ、徐々に解除されていくというものになるでしょう。つまり、半年から長くて1年程度、BCPの実行状態が続きます。
そのような場合、戦争を何年もやっている国と同じように、「BCP状態が日常」になっていきます。当然、その間も会社は存続し続けなければいけません。「不要不急の業務は縮小」といっても、実際には企業はそんなに長く息を止められないのです。政府機関であれば、「不要不急な業務なので停止しています」でいいかもしれませんが、民間企業はそれではすぐに死んでしまいます。
「BCPな日常」を過ごすためには、やはり自宅作業は必須です。BCP状態になってから手を打つのは間に合いません。マスクが売り切れるのと同じように、事前に用意しておかないといけないのです。「日常」と呼べるくらい長いBCP期間が続くとすれば、その間のセキュリティポリシーも当然必要となります。
BCP期間のセキュリティポリシーとして、自宅への業務書類の持ち帰りや電話やインターネットでの会議、業務ファイルのUSBメモリでの持ち帰りなど、BCP発令時には普段「禁止」しているあらゆる例外処理が発生することが予想されます。
また、感染した社員に変わって業務を行うための引き継ぎや、ファイルの共有なども必要になります。場合によってはチームごと仕事を引き継ぐ必要もあります。そのような混乱した状態で情報漏えいが発生すると、もはや収拾が付かない状態になります。CISO自身も感染者になることすらも想定できます。
このようなとき、平常時の「許可」「申請」が多数ある企業では、業務が完全にまひしてしまうことにもなりかねません。例えば、日常的にハンコが何個も必要になっているような会社は、BCPへの対応は困難でしょう。この機会に承認ルートの簡素化を進め、同時に非常時の権限委譲の仕組みを構築すべきです。
これらの権限委譲や、業務の肩代わりの仕組みの構築と同期するようにセキュリティポリシーも構築すればいいのです。おそらく、BCP期間中には独立したセキュリティポリシーは機能しないかもしれません。そんな混乱しているときに、新しいセキュリティポリシーの展開は、形ばかりで機能しないことが予想されます。従って、BCPそのものにセキュリティポリシーをとけ込ませておかなければいけません。
そのとき、これまであるような「分厚い規定集」は機能しないわけですから、ポリシーはシンプルな内容にすべきです。そのためには、ユーザーが意識しなくても、セキュリティが守られるようなシステムが構築されていなければいけません。「社員に守らせるルール」が多い企業ほど、BCP時には「セキュリティの武装解除」をさせられる可能性が高いのです。
あらかじめ従業員に意識させないセキュリティを構築していれば、BCP時も安全に、かつ、円滑に業務が行えるようになります。
そもそもルールが少なくてセキュリティが高いことが、最も運用面からみたセキュリティコストが安いわけですから、平常時にもシンプルを目指すべきでしょう。新型インフルエンザが今後どういう展開を見せるかは予断を許しませんが、これを機会に「追加、追加で分厚くなった規定集」を持っている組織や「従業員へのセキュリティ教育がいくらやっても行き届かない」と悩んでいる企業は、「ルールをシンプルにした高セキュリティシステム」への移行を検討してはいかがでしょうか。
多くのセキュリティ専門家はルールを増やすことは得意ですが、ルールを減らすことは苦手です。ルールを減らすには、高度なセキュリティ技術の知識とマネジメントとのバランスの感覚が必要だからです。やりすぎたセキュリティ対策を緩める覚悟と説明、残存リスクへの対応と許容など、「心配だから、みんなやっているからこの禁止ルールも追加」と安易にルールを増やしてきた組織にとっては、相当の覚悟がないとできない改革ではあります。だからこそ、いまはセキュリティコストの削減とBCP対応を実行する、またとない機会でともいえるのです。
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.