叡智の三猿

~情報セキュリティで森羅万象を捉える~

新しい酒は新しい革袋に盛れ

不正侵入を検知する機器が作動していなかった

先日、柏崎刈羽原発新潟県)では、外部からの不正侵入を検知する機器が作動していなかったことが発覚したというニュースがありました。さらに、IDカードを持っていない人が、同僚のカードを使って中央制御室に入ることを許していたとのことでした。
www.yomiuri.co.jp
この問題に対して、原子力規制委員会は長期間不正な侵入を許す状態になっていたとして、核物質防護などに関わる4段階評価の中で最も深刻なレベルに当たるとの評価を東京電力に示しました。

この評価は当然のことだと思います。

情報セキュリティでは「脅威」「脆弱性」「リスク」という言葉がよく使われます。これらの言葉は抽象的で似たような意味に感じます。

次のように使い分けされています。

言 葉
意 味
脅 威 情報セキュリティ(機密性、完全性、可用性)を損なう可能性のある要因
脆弱性 脅威がつけこめることができる組織や情報システム
リスク 脅威が資産の脆弱性につけこむことで、組織に損害を与える可能性や影響

今回、発覚した柏崎刈羽原発の問題を「脅威」「脆弱性」「リスク」で表現すると、次のような言い方になるでしょう。

柏崎刈羽原発は、侵入検知機器の脆弱性により、テロリストによる不正侵入の脅威がある。これにより、核物質の不正処理や、処理記録の改ざんなどのリスクが生じる。

とても深刻な問題です。

組織で働く人間の脆弱性

ところで、柏崎刈羽原発脆弱性について、表面上は「侵入検知機器」としていますが、脆弱性の本質は機器ではありません。組織で働く人間です。人間にある脆弱性、情報セキュリティリテラシーの欠如が問題です。

福島第一原発の事故を描いた映画「Fukushima 50」というのがあります。この映画を観たとき、非常にリアリティを感じました。地震津波で損傷した原子力建屋で働く人々の危機感が伝わります。映画の冒頭シーンをyoutubeでみれますが、これを見るだけでも、かなりの迫力を覚えます。
youtu.be
福島第一原発が直面した地震津波は自然によるテロですので、これを回避することは出来ません。しかし、柏崎刈羽原発の問題は、不正侵入者によるテロのよる被害を想定しています。これは回避可能なリスクです。

ただ、単純な侵入検知機器の故障という欠陥でなく、組織で働く人間の欠陥ですので、解決は簡単ではありません。

いままで多くのITプロジェクトを経験し、多くの組織を見ました。そこで得た感覚は、組織はとても多種多様で、どれひとつとして同じ組織はないということです。

ただ、組織の風土はいくつかのグループ化が出来そうに思えます。

わたしが柏崎刈羽原発の問題をニュースで見たとき、真っ先に感じたのはー

なんで、組織の責任者たちは、侵入検知機器が動作していない問題を放置しっぱなしにしておいたのだろう?

普通ではあり得ないことです。

もし自分の家に入るドアの鍵が壊れ、誰でも何時でも入れる状態になったら、真っ先に鍵を直します。

こんな小学生でも気がつく問題を危険な核物質を扱っている組織の責任者が気がつかないわけがないのです。

柏崎刈羽原発は、組織として、セキュリティ上、望ましくないことに対するリスクを議論する土壌が無いと推測します。個人であれば、家の鍵が壊れたら、簡単に交換することが出来ます。しかし、組織は意思決定をする場があり、そこで決められたことに予算を使います。ですので、セキュリティの問題を議論し、意思決定する場がなければ、侵入検知機器を整備することもありません。

ほうれんそうが育たない土壌

職場の報・連・相(ほうれんそう)は、すっかり定着した言葉です。この言葉を発明したのは、山種証券社長の山崎富治さんという方です。山崎さんの経営本して知られる「ほうれんそうが会社を強くする」は、昭和61年に出版された古典的名著です。わたしは新入社員のときに読んだ本ですが、30年が経過したいまでも、振り返り、読みます。

この本につぎのような記載があります。

f:id:slowtrain2013:20210403232207j:plain
「ほうれんそうが会社を強くする(山崎富治/ごま書房)」より

情報セキュリティに関わる情報は、多くがイやな情報です。現場としては、経営層に報告するのに後ろめたい気持ちになるような情報です。

ほうれんそうが育たない土壌の組織は、セキュリティに関わる情報が隠蔽されやすくなると思います。

この土壌を変える必要があります。

何故なら、問題を報告することで、それは組織の問題として扱われるからです。個人で問題を感じていても、それが報告されなければ、それは個人の問題であり、個人の責任ということにもなります。悪い情報こそ、積極的に報告を行い、組織全体として解決していく姿勢が必要です。

「新しい酒は新しい革袋に盛れ」ということわざがありますが、組織としてあるべきセキュリティリテラシーを持つには、それに応じた新しい組織を必要とすると思います。