ボブ・ディランは、The Times They Are A-Changin’(時代は変わる) のなかで次のように歌います。
(現在はいずれ過去になるように)
The order is rapidly fading
(いまの秩序は急速に崩壊する)
なんて普遍的で腹に落ちる歌詞なんだと感嘆します。
秩序は急速に崩壊するのは事実です。
2020年に発生したパンデミックを見ても明らかです。
新型コロナの感染者が急拡大するに伴い世界中の人々があわてふためきました。
日本でも会社にはテレワークを促し、学校には一斉休校を呼びかけました。そのころ、わたしの息子はちょうど、高校1年生になるときだったのですが、せっかくの入学の門出が休校からはじまったのは家族はもちろん、本人にとっていちばん残念だったはずです。
政府は感染拡大を食い止めるべく、アベノマスクと呼ばれるガーゼマスクを日本の全世帯に2枚ずつ配布しました。しかし、その効果は皆無で、究極の税金の無駄遣いと揶揄されました。
政府は学校の休校措置に対応すべく、2023年から予定していたGIGAスク ール構想の実施を前倒ししました。2021年3月には小中学生 一人一台教育用端末を支給しました。IT産業にとって、これは特需で喜ばしいことでしたが、前倒しによって期待されたオンライン授業は、あまり実施されませんでした。たとえ通信環境が整っていても、先生や保護者がオンライン授業をポジティブに受け止める状況にはなかったと思います。
また、GIGAスクール構想に沿って、学校で先生や児童・生徒が情報機器をスムーズに活用するため「ICT支援員」と呼ばれる職種を設置したのですが、あまり機能しませんでした。そもそも、教育現場である学校の先生自身が正しく「 ICT支援員」の役割を理解していません。ICT支援に求めるスキル要件も曖昧で支援員による能力格差も大きいと聞きます。
パンデミックはいままでの秩序を一気に崩壊させ、混乱で無秩序な状態を招きました。ニューノーマルという新たな生活様式としての秩序を取り戻すには、一定の時間がかかります。
古い秩序は新しい秩序に移行するのは、世の常ですが、その移行がゆったり進むことが理想です。そうすれば混乱による無秩序な状態を回避できるはずです。
しかし、現実社会はディランが歌うように「秩序は急速に崩壊する」のです。
ところで、情報セキュリティの攻撃者にとって、無秩序は機密情報を搾取する絶好の機会です。こんな美味しいビジネスチャンス!?を攻撃者が逃すはずありません。
コロナ禍、会社は社員にテレワークへ移行を進めるため、自宅からVPN経由で社内システムにアクセスするよう指南しました。しかし、いままで使っていないソフトウエアを管理する必要が生じ、現場は混乱しました。そこに攻撃者はつけ込みました。VPN製品の脆弱性を突いてパスワードを採取し、社内システムに不正アクセスして、会社の業務データを搾取する被害が出ました。
オンライン会議に便利なツールとして急速に広がったZoomは、エンドツーエンドの暗号化がされていないと専門家から指摘されました。それにより、攻撃者は多数のメールアドレスを流出させることに成功しました。また、認証の仕組みに問題があり、ブルートフォース攻撃によるパスワードの搾取が行われました。会議に招待されていない人が会議に参加する事態を招きました。現在はZoomアプリケーションの脆弱性は解消されていますが、一連の問題はビジネス環境が無秩序であるが故に招いた情報セキュリティインシデントだと思います。
現代は「VUCA(ブーカ)時代」と呼ぶようです。あらゆるものを取り巻く環境が複雑さを増し、将来の予測が困難な状態を指す言葉です。
- V(Volatility:変動性)
- U(Uncertainty:不確実性)
- C(Complexity:複雑性)
- A(Ambiguity:曖昧性)
情報セキュリティインシデントを発生させないための予防策をたてて実施することは重要です。しかし、いつ何が起きるか予測不能な世の中で、ありとあらゆるセキュリティの脅威を探り、対策をたてるのはあまり現実的ではないかと思います。会社の人・物・金のリソースは有限だからです。
会社としてセキュリティインシデントは、絶対に起きることを前提とした体制の構築と取り組み方法を検討するべきでしょう。
