~情報セキュリティにおける事故を減らすには~
セキュリティ・エグゼクティブ・ディレクター 中島浩光
さて、暑い日が続きます。まあ、二十四節気でいう小暑・大暑という時節ではあるのですが、皆さま体調は崩されておりませんでしょうか?
私は某野外フェス/ライブが晴天に恵まれてしまったため、熱中症にならずに乗り切ったものの、ところどころ変な日焼けになって、少し痒いです。
今回のコラムは、インシデントとか事故とかいったものについてちょっと書いてみようかと思います。
大事故は起こる
2018年7月、日本各地は記録的な猛暑でした。日本各地で人間の体温より高い気温が観測されました。消防庁によると熱中症により病院へ搬送された方は全国で、7/16~22で2万2647人、死者67人、7/23~29日で1万3721人、死者39人とのことです。これが7月後半の2週間での数字です。
また、6/28から7/8にかけては西日本において記録的な集中豪雨により「平成30年7月豪雨」が発生し、河川の氾濫、洪水、土砂災害が発生しております。
さて、この西日本における豪雨被害や、猛暑と熱中症による被害を想定した方はどれだけいるのでしょうか?
私自身、「今年も、ゲリラ豪雨はあるだろうなぁ、大型の台風も来るだろうなぁ、暑いというから35~6度くらいまではあるかなぁ」とは予想していましたが、今年の豪雨、猛暑のレベルは予想を超えてきた感じでした。
もう少し、過去にさかのぼると、2011年の東日本大震災、福島原発事故、また、阪神淡路大震災なども予想をはるかに超えた災害であったと言えます。
情報セキュリティの事故においても、通信教育関連企業での千万件単位の個人情報漏えい、海外に目を向ければ、億単位でのアカウント情報の漏えい、など、関係者の予想を大きく超える事故は起きているのが現実です。
こうやって見ていくと、情報セキュリティであっても想像を超える「大事故は起きる」ということを受け入れなければいけないのでしょうか?
ハインリッヒの法則
安全工学において、「ハインリッヒの法則」と呼ばれる話があります。これは、とある作業の現場で発生した、大事故(生命にかかわる)、小さな事故(生命にはかかわらない)、事故になりかけた事象の件数を調べたところ、1:29:300になった、というものです。
交通事故で例えると、大事故=死亡事故、小さな事故=けが人が出る事故、事故になりかけた事象=交通違反、という感じで、数値は別として、大事故の裏には相当数の小さな事故があり、さらにその裏には事故未遂の事象が多数あるということです。
そして、情報セキュリティにおいても、この関係を否定するものはありません。つまり、事故が発生する裏には多くの違反といえる事象があると推測されるのです。
大事故は違反の積み重ね?
さて、想定外の事象が発生した場合でも、それに対して適切な対応をしていれば、結果として事故にならない場合もあります。熱中症の例で言えば、事前の体調管理、水分・ミネラルの補給、空調の使用等、適切な対応により、想定外の猛暑になっても熱中症にならずにすみます。熱中症になるのは、体調管理を怠る、水分不足、兆候の見逃がしなど、どこかの段階で適切な対応をしていれば大事故にならずに済むはずが、全ての段階をすり抜けてしまったために発生してしまうことが多いのです。
昔「赤信号みんなで渡れば怖くない」というギャグが流行りました。確かに、車を運転している人たちが全て前方確認を怠らず、前に人を見つけたら止まってくれる、というなら事故は起こりません。ただの、「歩行者の信号無視」という違反が起きただけで済みます。しかし、そこに「居眠り運転」という違反が重なった場合、車は歩行者に気づかずに事故が起きてしまうのです。
情報セキュリティでも同様です。事故の報告書を見ていると、大小様々な違反が重なることにより起こる事故が多いのです。特に大事故の場合は、複数の違反が重なることにより引き起こされていることが多く、どこかの段階できちんと対応すれば事故自体防げたか、大事故ではなくもっと小さな事故で済んでいたはず、なのです。
大事故を出来るだけ少なくするために
ただ、違反が無くても大事故が起きる可能性はあります。巨大な隕石が落っこちてきたらどうしようもありません。しかし、防げる「はず」の大事故はあるはずなのです。そのためには、日常の違反を少なくすること、つまり、普段のセキュリティの運用をきちんと行う事がそれに繋がっているはずなのです。
と書いてきましたが、「当たり前のことを徹底する」というのが、難しいんですよねぇ・・・。