サイバー攻撃防御で今後重要になるのは「業界全体の情報共有」と「攻撃者目線によるリスク予測」だ――日本放送協会 情報システム局、熱海徹氏が解説

情報セキュリティのヒューマンエラーにおける４つのNGポイント

　熱海氏は、1978年に日本放送協会入局後、ハイビジョンスタジオ設備等の技術管理部門に所属。その山形局技術部長時代に「ヒューマンエラー低減に向けた活動」を展開し、放送人為事故10年間無事故を達成した。その経験を買われて、2013年に情報システム局へと異動になり、情報セキュリティ対策を担当するようになったという。

　「当時、情報セキュリティといえば、ほとんどエンドポイントへのアンチウイルスソフトやファイヤーウォールが主流でした。しかし、着任直前の2013年3月に韓国で大規模なサイバーテロが起き、業界としての危機感を抱くとともに、同様の攻撃を受けた時に『防ぎきれるかどうか』を真剣に考えるようになりました」と熱海氏は当時を振り返る。

　そうした思いを胸に、２年後の2015年6月に「情報セキュリティ対策グループ」を立ち上げ、さらに１年後に一般社団法人ICT-ISAC-JＡPANに出向して、放送業界全体のセキュリティ対策に取り組むようになった。その際のセキュリティに関する考え方や対応のベースとなっているのは、かつて技術管理部門でヒューマンエラーについて考え続けた経験だという。

　「数十年前から多発していた医療ミスや回転ドア、飛行機事故などによって、『人はミスをする』のが当然とされていました。むろん放送事故に関してもヒューマンエラーの影響が大きく、撲滅が大きな課題でした。そこで、ヒューマンエラーの仕組みを独自に研究し、放送事故対策に役立てようと考えたわけです。さらに現在もまた、当時得た知見やノウハウをサイバー攻撃に活かすことを考えています」

　熱海氏は、ヒューマンエラー低減活動で気づいたこととして、「やってはいけないこと」の第一位に「コミュニケーションの齟齬」をあげる。難しい用語を用いた説明や、14時か午後2時かといった連絡内容の聞き違い、「できます」「やりました」といった確認表現の食い違いなど、思い当たる伝達ミスは山ほどある。そこで、「あくまで“事実”を伝え、伝える際も何を一番伝えたいのか。どう伝えれば自分の味方が増えるかを考えながら発言することが大切」だという。

　２つめは「対策に集中する専門家の意見をうのみにしてしまう」こと。何かトラブルが起きた時に、専門家を中心に対策が進行するという経験をした人も多いだろう。心強く思いながらも、専門技術的な対策ばかりに気を取られていては、根本的な「なぜ、それが起きたのか」が見えなくなる傾向にある。確かに専門的で細かな対策も重要だが、全体を俯瞰し、問題の根本を見極めることが大切だ。

　さらに３つめに「上層部に対してインシデント報告がしにくいこと」。どんなに無事故が続いていても、ニアミスは頻繁に起きており、大きな事故の前にもインシデントは現れる。その報告がなされないまま、何か大きなインシデントが起き、セキュリティ環境や影響範囲などについて上層部との共有ができていなければ、パニックとなるだろう。トラブルの際は、被害を最小に留めることが必須だが、判断を間違えれば被害を拡大させてしまう可能性も高い。そうならないためにも、日頃から大小に関わらずインシデントを報告し、考え方や対処法などをすり合わせておくことが必要だ。

　そして、４つめは業務継続のための回復プログラムを優先できず、「復旧プロセスになかなか入らないこと」だ。何かサイバーリスクが生じたとき、普段から BCP として設けている災害プロセスと、被害を受けて復旧させるプロセスが一致しているかどうかを確認しておくことが必要だという。そこに齟齬があり、いざというときにブレーキがかかるようでは意味がない。 いずれも技術的なもの以上に、人間関係や考え方など、信頼感によって結びついた組織づくりこそが重要であることを示唆している。