先日こんなセキュリティ事故がありました。インターネットオークションで落札したPC用のハードディスクを落札して中のデータを確認したら以前の利用者のデータが残っており、落札者が利用者に連絡して回収したという。どうも、利用者側でPCを廃棄する際に廃棄作業を業者に委託しており、本来業者側でハードディスクを物理的に破壊処理するべきところを、そのまんまネットオークションに横流しされた、という事らしいです。

こうなると委託業者側がちゃんと仕事をしていない、ということでこの事故に関しては委託業者の責任、ということになるでしょう。こういう事故が起こらないように、委託先が契約内容を遵守しているか、業務を契約通りに行われているかを検証し、委託先をマネジメントすることが必要なわけであり、情報セキュリティ対策において、委託先管理は重要といわれているのです。

このように、業務委託先で情報セキュリティ事故が起こることはあり、業務委託先をどの程度信用するのか?は悩ましい問題ではあります。実際、ユーザ企業へのコンサルティング現場においても「自社の人間は信用するが、委託先の人間は信用しない前提で対策を」と言われることも多いです。しかし、本当に、委託先は社内より信用できないのでしょうか?

実際、社員が原因で発生している情報セキュリティ事故も多いので、委託先のほうがよっぽど信用できるのではないか?と思う事もあるのです。

今回のコラムは委託先を信用するかという点をあくまで個人的意見として考察してみようと思います。

本当に委託先は信用できないのか?

「委託先の人間は信用しない」というのは何故なのでしょうか?

それにはおそらく「心理的な距離」が関係していると思うのです。同じ社内の人間であれば少なくとも「知り合い」もしくは「知り合いの知り合い」でしょう。場合によっては日常的に顔を合わせる人も多いと思うのです。委託先の人間のほとんどは初対面であったり、普段顔を合わせない人間であったり、通常「友人」とか「知り合い」という人たちではないと考えられます(そうでない場合も多くありますが)。心理的距離は「家族」<「友人」<「知り合い」<「知らない人」の順で遠くなっていくと仮定すると、心理的距離が近い人のほうが一般には信用すると思われるのです。

そのため、「自社の人間は信用するが、委託先の人間は信用しない」と言われるのだと思われます。これは、重要な一面ではあると思うのですが、これは「人」という要素に着目しているだけであり、委託業務や委託先のセキュリティ対策を評価しているわけではないため、会社としての「委託先」の評価とは異なるはずなのです。

信用できる委託先もある

仕事の中には、お客様から「委託先の監査をして欲しい」ということで、実際に委託先を訪問しての現地監査を行うこともあります。そういった会社の中には、監査をしていて「きちんとしてるな」という会社もありますし、「これは凄い。よくできている」とびっくりさせられる会社もあったりします。そういった会社はやはり情報セキュリティという面では信用がおけるのです。

反対に、企業の大小を問わず、「なんか、ここ危ないな」と思う会社もあったりします。

このコラムを書きながらこの違いを考えてみると、セキュリティ対策が「人の運用にどのくらい依存しているか?」が鍵なのではないかと思うのです。

犯罪心理学的に委託先管理を考えてみる

さて、上述のことを考察するにあたり、犯罪心理学の知識を使ってみましょう。

犯罪心理学においては、犯罪(不正)は3つの要素が揃ったときに発生すると言われています。

動機:不正の目的。「お金が欲しい」とか「個人的恨み」とか。
機会:不正が起こせる状況。「施錠されていない」とか「人が見ていない」とか。
正当化:不正実施の自己正当化。「みんなもやっている」とか「見つからなければ大丈夫」といった良心の呵責のハードルを下げるもの。

「赤信号 みんなで渡れば 怖くない」という有名なフレーズを例に取ると、

動機:早く渡りたい。
機会:赤信号だけど、車は通ってないよね。
正当化:みんなで渡れば大丈夫だよね。

という感じで「信号無視」という不正を働いてしまうわけです。

情報セキュリティ事故の発生もこの3要素で考えてみると、動機と正当化は実は人に依存します。動機についてはその人を取り巻くいろんな状況だったりしますが、最終的にその人の感情・思考といったものに依存します。また、正当化は心理的なハードルであり、その人の倫理観によるので、仮に人が悪意を持ったと仮定すると動機および正当化の要素はすでにそろっているため、セキュリティ対策としては「機会」をいかに作らないか?という点に集約されるのかもしれません。

こう考えると、「凄い」と思った委託先というのは、セキュリティ対策の部分で人の運用に依存する部分が非常に少ない、もしくは、人による運用であっても権限分離がしっかりできている、という会社なんです。

反対に「危ないな」と感じるところは人による運用への依存が大きい会社が多いです。ただ、セキュリティ対策にどの程度リソース、投資をできるかは会社の大小によって違うので、一概に人による運用が悪いわけではなく、その場合には人による運用はするにしても動機や正当化の部分をうまく考えるのが必要になるのだと思います。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光