NIS-Be通信+(No.1)

【セキュリティのさじ:情報セキュリティに関する最近の話題をピックアップし掘り下げます

●10月1日の「東証システム」のトラブルが、数日間に渡って新聞紙上を賑わせました。当初懸念されたサイバー攻撃によるトラブルではなかったのは幸いでしたが、我々にとっても大いに注意すべきマネジメント上の課題(リスク対応、危機対応)が多く、冒頭の話題として取り上げました。

 ご承知の方も多いかと思いますが15年前にも同様な事故があり、一部ではそれと関連付けたいわゆる「悪者探し」の報道もあったものの、当然ながら当時と意識や状況も大きく変わっており、報じられ方にも変化が見られました。

 それはトラブルの真因をITシステムの問題としてだけ捉えずに市場全体の運用上の課題として捉えたものや、利用者の観点・運用者の責任や心情に寄り添った報道等ですが、筆者にとっては翌10月2日昼の「NHKニュース」内、街頭インタビューでの「命題は、リスクマネジメントだ!」という一般の方の発言が一番心に残りました。 

 発言者の真意は不明ですが、まさに筆者が考えていた「課題認識」と合致しており、今後そういった視点からの分析や評価が待たれるところで、16日には東証から監督官庁である金融庁に報告書が提出され、19日に親会社のJPXから内容の公表もされています。

  • 参考:
    • 「切り替え失敗は良くある 東証システム障害の真因」10/6日経XTECH
    • 「東証の終日停止判断に疑問 auカブトコム社長」10/8日経XTECH
    • 「富士通に損害賠償請求発言から15年」10/12日経XTECH:極言暴言
    • 「取引再開ルール、年度内に整備 富士通…」10/19日経新聞
    • 「10月1日に株式売買システムで発生…」10/19 JPXプレスリリース

●また、9月の「デジタル庁創設」の発表に続いて、10月になるとデジタル化の象徴としてか「脱ハンコ」のニュースが頻繁に紙面を飾るようになってきました。

 ただ、ただ、振り返って過去の記事を検索すると、近年になって「電子契約」や「電子署名」に関する記事が増加しており、その流れがコロナ対応での「テレワーク拡大」や「デジタル庁創設」を受け、一気に加速して来ている観があります。(コラム参照)

 そういったそういった検討活動の一つとして、総務省が主導している組織間商取引の電子化推進のために重要な「組織が発行するデータの信頼性確保」技術/制度である「eシール」があります。

 4月20日には有識者を集めて検討会の初回が開催され、幅広い分野の企業・団体が参加しています。その関連の調査研究として今年度行われる実証実験には、NIS-Beの運営にも深く携わるEvaAviation社(以下Eva社)の知見も組み込まれる予定です。


【One TERM(用語解説)】

リスクマネジメント

 ネットで検索すると「リスクを組織的に管理し損失などの回避又は軽減を図るプロセス(ウィキペディア)」、「営業活動に伴うさまざまな危険を最小の費用で食い止める経営管理活動(大辞林:第3版)」等とあります。

 いずれも正しくはある一方で曖昧であり、ある分野での具体的な使い方や考察をするには不十分であり、筆者なりに補足してみた内容を以下に述べます。

 IT分野においての「リスクマネジメント」は従来、リスク発生の「抑制」にのみ注力し、「発生させない」事を目標にコスト・時間をかけて対応(構築)してきました。しかし各種システムが社会のインフラを中心的に担う状況になってきた現在は、「システムに故障はつきもの」で「人はミスをする」事を前提に考えると、重大な障害が発生した場合を想定して検討・準備する事(危機管理)の重要性はより増しており、リスクマネジメントの定義自体も進化を求められていると考えます。

 具体的にはリスクマネジメントの概念を拡大して考え、その中身は平常時における「従来型のリスクマネジメント【①リスクの特定 ②発生の抑制】」だけでなく、非常時における「危機管理【③事態統制 ④被害極小化 ⑤平常への回復】」についても、日頃から十分に検討かつ計画することが必要とされている事を認識しなければなりませんし、他の分野を含めて世の動向もその流れにあると感じています。

 セキュリティ分野においても同様で、従来型の規準であるISOにおいては、リスクを「特定」「防御」して侵入を防止する為の対策(従来型のリスクマネジメント)が中心でしたが、NIST SP 800シリーズに代表される最近の規準では、それに加えて侵入された場合を想定して「検知」「対応」「復旧」する為の対策(危機管理)が求められています。

 また、今回の東証でのトラブルをリスクマネジメント視点で考えると、「ハード故障の原因」や「切替え失敗の原因」をきちんと解明し、再発リスクの低減を図ることは当然として、事態発生後の(危機管理としての)対応が十分であったかをBCPに沿って分析(影響範囲の想定、利用者との事前合意内容、停止判断基準などの評価)する事が、より重要になるのではないかと考えます(今回は「再発防止策検討協議会」で議論される模様ですが、その結果の社会への公表及び共有が期待されます)。


【編集後記】

 10月1日の9時頃、ミーティングを実施していて突然「東証トラブル」のニュースが飛び込んできた時は「まさか!」「またか!」とまず感じました。加えて自分は、ベンダー系のフィールドSEとして長年多くのPJの構築や第三者の品質チェックに従事してきたので他人事と思えず、残念な気持ちと共に「何故?」「どうすれば良かったか?」という探究心も併せて湧き上がり、かつセキュリティにも通ずる事が多いと考え、今回の内容となりました。

 どんなにどんなに検討し実装・テストしても(又はしたつもりでも)、発生を根絶出来ないトラブルにどう対応するかは昔から悩みの種で、運用観点での発生時の対応準備(危機管理)が、ますます重要度を増していると感じています。

(佃)