漏えいから守るべき情報資産とは何か山口英の10分間セキュリティ責任者強化塾(2)

情報漏えいの防止には、組織の情報資産は何なのかを認識し、各情報資産の適正管理を図らなければならない。その際に問題となるのは、それぞれについて誰が管理責任を持つかを明確化することだ。

» 2006年03月23日 12時00分 公開
[山口 英,奈良先端科学技術大学院大学情報科学研究科 教授]

 情報セキュリティ管理者の重要な使命の1つは、組織が保有する情報資産の適正な運用を維持することである。ところが、情報資産とは一体何なのかを真面目に考え出すと、袋小路に迷い込むことも多い。今回はなぜ袋小路に迷い込んでしまうかを考えてみたい。

状態、記録媒体には関係ない

 まず議論を見通し良くするために、情報セキュリティ管理者にとって「情報資産とは何か」を問われたとき、私がいつも示している答えを述べる。

 情報セキュリティ管理者は、組織内にある全ての情報を情報資産と考え、漏れなく管理対象として扱うべきである。情報が紙媒体に印刷されていようが、オンラインで管理されていようが、対象としない理由とはならない。また、最終的な書類として管理されていようが、作業中の書類、あるいは個人的なメモであろうが、分け隔てなく全ての情報を対象とするのである。

 そんな無茶なという声が聞こえてきそうだが、実際に情報管理を考えていくと、包括的に全ての情報を対象とする以外に、情報管理の基本的なルールを作るときに整合性を確保することができないのだ。

 これは、ほんの少しだけ頭の体操をすれば簡単に分かる。例えば、隣の席に座る同僚から仕事の段取りに関わるメモをもらったとしよう。PowerPointを使って作成された紙の文書で、書類の右肩には「部外秘」と書かれている。確かに、この文書を受け取った私たちは、右上の「部外秘」によって文書管理を適切に行わなければならないことに気付かされる。しかし同時に、そのドキュメントを作成した同僚が、印刷前の元ファイル(ここではPowerPointファイル)を適切に管理していなければ、「部外秘」と書いたこと自体意味がないことにも気が付くだろう。

 このような状況は特別なものではなく、日常茶飯事となっている。今や紙に出力された形態も電子的に蓄積されている状態も不可分で取り扱わなければ、実効的な情報管理はできないのが実状なのだ。

だれが責任を持っているのか

 さて、情報資産の適正管理を考える時に迷い込みやすい袋小路の1つは、各情報資産についてだれが管理責任を負うべきかを明確にできないまま事態を好転させようとする努力である。そもそも、だれが責任を持っているかを明確化しないまま努力をしたところで、適正化は図れない。

 例えば、社員1人1人が負っている責任は何であるかを明確にすることなく、各社員が作成するメモや電子メールについての管理適正化を強制したところで、社員はそれを納得するだろうか。あるいは、各部門に文書管理を適正化しろと言っても、事前に各部門が管理すべき書類、組織の中枢機能(本社機能等)が管理すべき書類の仕分けが終わってなければ、管理の適正化が正しくできるだろうか。

 このように情報資産に対する責任構造を整理し、関係する主体が負うべき責任を明確化した上でなければ、その先の適正化などできようもない。

 しかし、情報セキュリティ管理者にとって、この責任の明確化プロセスは手間がかかる場合が多く、他の責任者(CIO、CFO)などの権限に影響を与えることも考えられ、場合によっては全社的に大騒ぎ(大混乱)が発生する可能性もある。このため混乱を発生させまいとしてリスクを避ける意味で、情報セキュリティ管理者が責任の明確化プロセスを避けて通り、結果として袋小路に陥ってしまうことが多々あるのだ。まず責任の明確化をしっかりすべきだ。

統一的な方法はあり得ない

 また、これとは別に陥りやすいのが、全社統一的な情報管理の枠組みを決めて、それを強制することにより、各部門が一斉に反発し、結果として情報管理が全く進まない状況になることだ。

 このタイプの袋小路に陥る状況が生まれてしまうのにはいろいろと原因がある。だが、最も本質的には、そもそも仕事の仕方を見ずに統一的な方法を強制すること自体、最適化の考え方ではなく、これまで現場で培われてきた最適化の考えと真っ向から対立するように見えることにある。

 その意味で、情報資産管理の目的は明確に組織で統一的に規定することが必要だが、具体的な管理方法については部門に応じて、業務の進め方と合わせて最適化していくような取り組みが必要である。このようなことに手を抜けば、情報セキュリティ管理者は「プチ独裁者」と言われることだろう。よりきめ細かな対応が必要になる。

現実的な方法を目指せ

 この2つの典型的な袋小路を見ると、情報管理の適正化は、これまで日本の会社が頑張ってきた改善運動と同じような枠組みで取り扱うことが、うまくいく秘訣(ひけつ)かもしれない。実際にそのような取り組みをしている日本企業も生まれてきている。全体責任者と現場がそれぞれの立場を明確化し、より最適な方法を生み出していく。情報資産管理においても、そのような考え方から改善プロセスを生み出すのも良いことだろう。

著者紹介

▼著者名 山口 英(やまぐち すぐる)

奈良先端科学技術大学院大学情報科学研究科教授。大規模分散処理環境構築、ネットワークセキュリティなどの研究に従事。また、WIDE Projectのメンバーとして、広域コンピュータネットワークの構築・研究を行ってきた。セキュリティに関しては、現在JPCERTコーディネーションセンターの運営委員も務めている。また、内閣官房情報セキュリティセンターの情報セキュリティ補佐官として、日本の情報セキュリティ戦略と具体的な対策の立案に携わっている。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ