「情報セキュリティ」と聞いて、あなたはどんなイメージを抱くだろうか。
アクセス制限、社外秘のラベル、複雑なパスワード、VPN、ファイアウォール──多くの人がすぐにイメージするのは「情報を守ること=外に漏れないようにすること」ではないだろうか。
だが実は、セキュリティの原則はそれだけではない。むしろ、「厳重にしまいこむこと=セキュリティ」という偏った認識が、建設的な情報管理を妨げる場合もある。
「CIA」の三要素──セキュリティの原点にある“可用性”
一般的に、情報セキュリティには、以下の3つの基本的な柱があるとされる。
- 機密性(Confidentiality):許可された者だけが情報にアクセスできること
- 完全性(Integrity):情報が改ざんされていない、正しい状態であること
- 可用性(Availability):必要なときに、必要な情報へアクセスできること
この3つはそれぞれの頭文字をとって「CIA」と呼ばれ、どれが欠けてもセキュリティは成立しない。
これらは情報セキュリティの教科書の最初に記されるような一般論でもある。したがって、業界・職種を問わず、何年も社会人をしていれば、幾度となく「セキュリティ研修」などという名目で、”勉強”させられてきた内容かもしれない。
しかし本稿では、あえてこの”当たり前すぎる一般論”について考察したい。とくにCIAの3つ目、”可用性”が、セキュリティの現場で忘れられているケースがあるからだ。それどころか、可用性がセキュリティと相反するもののように扱われ、蔑ろにされているケースもある。
機密性と完全性と比較して、やや異質に見える”可用性”
CIAのうち、機密性と完全性はわかりやすい。
機密性は、”不用意に見せない・広げない”こと
機密性とは平たく言ってしまえば、「権限のない人に情報を見せないこと」を意味する。不要な人にまで機密情報・個人情報を開示してしまえば、それは情報漏洩だ。機密性は、「必要のない人に、情報を”見せない”」ことを意味する。これは多くの人がもつセキュリティのイメージそのままだろう。
完全性は、データを正しく管理し、データに対する信頼を育むこと
また、完全性は、「管理されている情報にウソ・誤り・改ざんがなく、正しい状態にすること」を意味する。情報すなわちデータは、すべて意思決定の根拠であり、ビジネスの基礎となる。卑近な例を挙げれば、勤怠管理システムのデータが間違っていれば、給与の不払いが起きる。会計システムのデータが間違っていれば、脱税が起きる。契約管理システムで管理されるデータが間違っていれば、契約トラブルも起きる。
見方を変えれば、データの完全性に対する信頼が失われれば、それはビジネスに対する不信感を生み、関係者に不安を蔓延させる。
「勤怠を入力したが、はたして給与計算は正しく行われ、給料日に給料は振り込まれるのだろうか?」
「送ったメッセージに”既読”はついたが、はたしてこれは本当に読まれたのだろうか?」
「現存する会計資料だけで決算書を作ったが、万一税務署から指摘されたら、経理担当のミスにされるのだろうか?」
こんな不安を抱えた状態では、安心・安全に働ける職場にはならないだろう。データの正しさが担保されて、はじめてシステムへの信頼が生まれ、それが職場環境とビジネス本体の安定をもたらす。このことは、内部統制・ガバナンスといった難解なビジネス用語を出すまでもなく、いくつか卑近な例を並べれば明らかだろう。
一方、やや異質な”可用性”──”必要なときに、ちゃんと見られる・使える”こと
他方、一般的・代表的な情報セキュリティのイメージからやや外れがちなのが可用性だ。また実務上もっとも軽視されやすいのも、この可用性である。
可用性は、機密性・完全性とは毛色が異なり、「必要な人に」「目的に応じて」情報を見られること・使えるようにすることを意味する。機密性や完全性が、情報を守る・しまい込む・手続きやお作法を徹底するという話なら、”それらを緩める”取り組みが可用性となる。
可用性は情報を”守る”というイメージからもっとも離れていることもあり、実務上軽視されやすい。しかし、本当に可用性は”守り”と無関係なのだろうか?
セキュリティとは、届けることでもある
実際の現場で、「その情報、追跡できますか?」という問いがセキュリティの論点になることは多い。たとえば、不正アクセスや情報漏洩の疑いが生じた場合を想像してみよう。
最初に求められるのは、「ログが取れているか」「アクセス経路が特定できるか」「改ざんの痕跡を検証できるか」という情報の可用性だ。追えない情報は、守れていない情報だ。そして、情報が追えないなら、起きた事象は説明できない。説明がつかないなら、是正もできず、関係者からの信頼も取り戻せない。
このようにして、不正アクセスや情報漏洩の事故が、組織体制の脆さを露呈させる場合がある。直接的に発生させた損害・被害よりも、
「この会社にまともな体制整備ができるのか?」
「今後は是正・改善ができるのか?」
という疑念を払拭できないことが、致命的な信用失墜をもたらすかもしれない。
そしてそれは、可用性の問題であると同時に、機密性と完全性を検証し、維持するための前提でもある。
密室化した情報は、かえってリスクになる
また、機密性・完全性のみを徹底して、可用性が蔑ろになることがセキュリティリスクを生む場合もある。
情報を厳しく管理するほど、アクセスは制限される。アクセスが制限されすぎると、業務の中で使えなくなる。使えない情報は、いずれ業務で使われなくなる。形骸化した情報は、管理もされず、老朽化し、気づけばセキュリティホールの温床となる。
また、正しい情報の”見方””読み解き方”のノウハウの伝承・共有も困難になる。
セキュリティルームに厳重に情報をしまい込み、セキュリティルームに入れる人だけが情報を閲覧できる状況では、責任が現場の作業員に集中し、現場でスタッフ・オペレーターの孤立を生む。多数の関係者・当事者でレビューを行い、情報・データに対する信頼が高めることは、まさに可用性がセキュリティに寄与する好例といえるだろう。
「届かない情報」は、組織のセキュリティ死角
業務現場で「共有がない」「引き継ぎができない」「担当者がいないと情報が見られない」──こうした現象は、見過ごされがちだがすべてセキュリティリスクだ。
情報が行き渡らないことにより、
- 間違った手順が反復される
- 必要な対応が遅れる
- 改ざんや誤操作が放置される
- 人的なブラックボックスが温存される
- 職務怠慢、確認手順の省略・手抜きが放任される
といった課題の発見、対応が遅れることもある。一見“情報が守られているように見える”状態に見えるかもしれない。しかし実際には”不公正で透明性のない働き方”が、あたかも既得権のように守られているだけかもしれない。この場合、厳重に情報を管理したつもりが、たんに”職場の風通しを悪くしていた”という話にすぎないかもしれない。
まとめ:セキュリティとは、“健全なアクセス”のことである
セキュリティを強化するとは、単に外からの攻撃を防ぐことではない。
中の人間が正しくアクセスし、正しく利用し、正しく記録を残す──この一連のサイクルが正常に回ってこそ、初めて“守られている”状態といえる。
「届かない情報は、守られていない」
「使えない情報では、組織は守れない」
情報は、しまいこむだけでは価値を失い、かといって野放しにすれば危うさが増す。だからこそ、適切に共有され、追跡でき、全体で責任を持てる構造を備えたシステム設計が求められるのだろう。
そしてその構造の中核にあるのが、まさに「可用性」という要素ではないだろうか。
セキュリティを“閉じること”と捉えれば、その概念はサーバーインフラ・Web技術の各論へと閉ざされる。
セキュリティを“つなぐこと”へと再定義するとき、セキュリティもまた、組織の課題と共鳴をはじめるのではないだろうか。
弊社について
合同会社インクルーシブソリューションズは、データ・システムの力で、透明性・公共性・倫理を兼ね備えた組織運営を支援しています。
記事へのご意見・ご感想は下記よりお寄せください。