さて、今回紹介するセキュリティ古文書は、1987年(昭和62年)10月29日に発行された「管理職のためのコンピュータ・セキュリティ戦略 ウイリアムE・ペリー原著 長谷川定吉監修、伊藤茂文、大和田淳訳」(日経マグロウヒル)です。原著は1985年の出版ですから、約30年前、つまり四半世紀以上前の話ということです。しかし、内容は最新の情報セキュリティマネジメントの書籍に書いてあっていてもおかしくはない部分も多くあります。
それでは、ちょっと読んでみましょう。
データ処理の専門家はコンピュータ・セキュリティの技術的な解決方法を30年間にもわたって探ってきた。この問題は初期の真空管コンピュータの頃からある。この種のコンピュータから生じる熱は火災の原因となる危険があるので、凝った制御装置が必要だったからである。
内容は古くないといったそばからなんですが、真空管コンピュータの熱対策の話は、すでに多くの人にとっては経験をしたことのない話かもしれません…。しかし、データセンターのお守りをしている方であれば、サーバの熱対策には今でも苦労をしているかもしれません。コンピュータは発熱機です。
ベトナム戦争当時、反戦活動家は企業がコンピュータに依存している事実を認識していた。彼らは企業に重大な損害を与える最も簡単な方法が、コンピュータ・センターの破壊であることを知っていた。爆弾事件によって、企業の管理職はコンピュータ・センターを難攻不落の要塞に変える必要性を悟ったのである。
映画『ウォー・ゲーム』の公開が1983年ですが、ここではハッキングではなくて、わりとフィジカルな「破壊」について書いているのかな…と思いきや、
コンピュータ処理に電話回線を利用するようになると、電話による不正操作や詐欺が可能となった。厚さ1メートルのコンクリートでもコンピュータを保護することはできず、セキュリティの新しい方法が開発され、コンピュータの使用許可申請時に身分証明が要求されるようになった。
「厚さ1メートルのコンクリートでもコンピュータを保護することはできず、セキュリティの新しい方法が開発され、コンピュータの使用許可申請時に身分証明が要求されるようになった。」とありますね。これは、公衆ネットワークにつながってコンピュータにとっての重要性は、物理的なセキュリティではなく、論理的なセキュリティになっていることを示しています。コンソール端末からのみ管理ができるスタンドアローンモデルから、公衆ネットワークにつながったネットワーク型のコンピュータになった瞬間、物理的なセキュリティの重要性はもはやコンピュータ機器の破壊からの防御以上のものはなくなったのかもしれません。
コンピュータがネットワークにつながったとたん、銀行の玄関にすべての人が入れるのと同じ状況なのです。
技術は進んでも状況はたいして変わらない。技術者がこの「人間の問題」を解決してくると期待されたが、それに反して、人間性について理解の欠如は、コンピュータの誕生以来、コンピュータ業界の根本的な問題の1つだった。技術者は人間を無視した解決策を主張し続け、無視された人間がコンピュータ・システムの効果を妨げてきた。
技術者が人間を無視している、と書いています…。人間性についての理解を十分にしている技術者のみなさんの登場を待ち続けて四半世紀以上が経過しているというわけです…。
社員の姿勢や行動を左右する能力はデータ処理部門の及ばないところである。たいていの社員はデータ処理要員のために働くことなどしないし、彼らから指示を受けるものも好まない。社員がデータ処理部門を快く思っていないことも多い。コンピュータが変化を望まない人に変化をもたらすからである。ある中堅管理職の「コンピュータは嫌いだ。すてきで、幸福で、気楽なオレの生活を変えてしまった」というつぶやきは、社員のコンピュータに対する根強い反感を映している。データ処理管理職は、コンピュータ・セキュリティにこそ社員の協力を必要とするのだが。
コンピュータが俺の働き場を奪いやがった」というのは、かなり昭和的な響きです。ただ、情報システム部門のために業務部門が働いているのではなく、業務の効率化や有効性の向上のために情報システム部門があることは今でも同じです。ここを履き違えてはいけないのは、昔から同じです。
次に、効果的なセキュリティ計画を立案するための3つの前提を示そう。
(1) セキュリティは人間の問題である。
(2) コンピュータ・セキュリティは人を通じて解決される。
(3) コンピュータ・セキュリティのために協力を求める問題があれば、それは経営の問題である。
コンピュータ・セキュリティの技術的な問題は技術者が解決できる。姿勢や行動など人的問題は技術者には解決できない。人的問題は上級管理職だけが解決できる。上級管理職だけが社内の命令およびその優先順位を決めることができるからである。
コンピュータ・セキュリティに対する企業の要望は、経営責任者(CEO)が出すべきである。この行動は積極的で、しかも個人としての関与が必要である。一般管理職やスタッフは、経営責任者がコンピュータ・セキュリティにかかわっていることを確認していることが必要である。
「コンピュータ・セキュリティの技術的な問題は技術者が解決できる。姿勢や行動など人的問題は技術者には解決できない。人的問題は上級管理職だけが解決できる。」という表現は、まさにセキュリティマネジメントの重要性を突いています。まさに、「コンピュータ・セキュリティは人を通じて解決される」のです。ならば、情報セキュリティに携わる人は、少なくともマネジメントについての理解が必要となります。
技術の問題と人の問題、その両方が絡み合うセキュリティの問題。その解決手法の模索は30年前から少しも変わっていないません。
技術者は人間を理解した上で解決策を提案し、コンピュータ・システムに支援された人がビジネスの効果をあげていく。これが重要です。マネジメントが重要。
次回もお楽しみに。
