最近、セキュリティの話題が非常に多いですね。情報関連にとどまらず、犯罪や不正などに対するセキュリティの話も多く出ています。
さて、セキュリティを日本語に訳すとどうなるかご存知でしょうか。辞書を引くと一番最初に出てくるのが「安全」で、それ以外に「防衛、担保、保安」などがあります。私は今まで「防衛」という意識が強かったのですが、実は「安全」のほうがしっくりくるとわかりました。
ところで、建設業で一般に使われている「安全」を英語にすると、どうなるでしょう。そう、「セーフティ」ですね。では、「セキュリティ」と「セーフティ」の違いは何でしょうか。実はここに、情報に対する安全対策の意味が隠されているのです。
「セキュリティ」とは、侵入や盗難、破壊など悪意をもって行われる人的な脅威に対しての安全です。それに対して、「セーフティ」とは、交通事故や自然災害などの偶発的、突発的な悪意のない驚異に対する安全を意味します。従来の「安全」=「セーフティ」といっていたのは、豪雨や強風、地震などの自然災害や墜落、重機、土砂崩壊といった労働災害に対する安全を意味するからです。
最近では、「セーフティ」の意味を含んだ「セキュリティ」が多くなってきていますが、今まで意識していなかった悪意のある脅威に対する安全対策が必要であることを意味していると言えるでしょう。
情報セキュリティのことを話すときに、従来にはなかった、この「悪意のある脅威」について理解してもらうようにしています。OA化が進み、作業の効率化・省力化が進むうちに、今までは難しかった内部資料の持ち出しや消去が可能になりました。そして、日本人のモラルの低下、行き過ぎた成果主義による過当競争が悪意に拍車をかけたのです。だからといって、OA化やIT化を否定するわけではありません。大事なのは、OA化にしろIT化にしろ、それに携わる人たちのモラルや教育次第でセキュリティレベルはいくらでも変わるということなのです。
ところで、セキュリティ対策を行うのに、物理的な対策(バックアップ体制や無停電装置)が一番目、システム的な対策(監視ソフトやアクセス制御)が二番目、最後に人的対策(セキュリティポリシー策定、社員教育)が行われる場合が多いです。その際、物理的対策とシステム的対策に追われて人的対策が疎かになっている例がとても多いと感じます。(だからこそ、Winnyによる情報
漏えいが後を絶ちません。)最近の被害の多くは、内部犯行によるものとの報告もあります。社員教育には充分な時間と内容をあてる必要があるのではないでしょうか。
これをセーフティ対策で考えてみると、わかりやすいでしょう。安全対策で手すりを高くしたり、安全帯着用を義務付けたり、安全点検を何度行っても、事故がなかなかなくなりません。「昔の足場から考えると、素人でも歩ける足場になった」とよくいう年輩の方がいますが、その素人でも歩ける足場から転落する人がいるのです。つまり、「安全帯を着用してはいたが、使用はしていなかった」とか「手すりを高くしたのに、それを潜り抜けて近道行動をした」といったような人的要因なのです。そこをきっちり抑えなくては本当の安全対策にならない、これはみなさんよくご存知だと思います。情報セキュリティも同じことです。
最初に、安全対策の意味が2つの言葉の比較に隠されているといいました。「セキュリティ」という言葉に惑わされてまるで新しい出来事であるかのように 思っていたことが、「セーフティ」の意味と比べることにより、実は今まで経験してきたことと同じだと理解していただけたでしょうか。
もちろん、物理的対策、システム的対策はとても重要です。しかし、その対策は専門家(外注)に任せしてよいことが多いのです。しかし人的対策は違います。支援を外部に仰ぐにしても、対象が社員である限り外部に替えはききません。このことを念頭におき、今一度セキュリティに対する計画・対策を考えてみてください。