今年6月、ネットワーク上でのセキュリティー全般に関する問題に取り組む“サイバーセキュリティ・コンソーシアム”なる団体が設立された。設立の目的は、サイバーセキュリティーに関する研究者や、それらに関連する人々の情報交流をうながすことによって、技術的、法律的、教育的な見地からセキュリティーに関する意識を向上していこうというものである。
カウントダウンに入った2000年問題からセキュリティーを再考する
コンソーシアムは、世話人代表を奈良先端科学技術大学院大学副学長の鳥居宏次氏が、顧問を中央大学の辻井重男氏が務めるほか、大学教授や企業関係者、弁護士らが世話人としてずらりと名を連ねている。コンソーシアムの参加メンバーは現在募集中で、関心があれば個人でも参加できる。その“サイバーセキュリティ・コンソーシアム”の設立後、最初のキックオフセミナーとなる“2000年問題ファイナルセミナー”が、大阪南港のWTCビル内(ソフト産業プラザ[MADO]プレゼンテーションルーム)にて、1日の“防災の日”に合わせて開催された。2000年を4ヵ月後に控えたいま、どのような対応ができるのかを、4人の講師がそれぞれの立場から提案。問題への取り組みを通じて、セキュリティーそのものへの考え方を見直すのが目的である。
ここでは、セミナーの前半にあたる2つの講演を紹介する。なお、セミナー全体の司会進行役は、コンソーシアムの発起人の1人であり、サイバービジネス・ネットワークの臼井義美氏が務めた。
 |
|---|
| セミナーの模様 |
 |
|---|
| 司会進行役をつとめるサイバービジネス・ネットワークの臼井氏。コンソーシアムの発起人の1人であり、以前からセキュリティーに関する情報交流の必要性を説いた |
 |
|---|
| 会場のようすはホームページからほぼ60分ごとに実況中継された |
事前に対応できるものと仕切れないものを分けて、どう切り捨てていくか
まず、はじめに日本アイビーエム(株)2000年対策室の藤田雅之氏が、“2000年問題、危機管理の最終計画”をテーマに、企業の危機管理について講演をした。2000年問題で最も気をつけなければいけないのは、その日がお祭り的な日でもあるということ。つまり2重の意味で、通常と同じ体制で対応できるかがまったく予測がつかないのだ。だからといって過剰反応するのではなく、より冷静に状況を判断するために今から対策を立てる必要がある。
 |
|---|
| 日本アイビーエム(株)2000年対策室の藤田氏はスライドを使って2000年問題の基礎からリスク管理の発想までをトータルに解説。「これから4ヵ月間は中小企業の2000年問題対策を集中して行なっていきたい」と講演を締めくくった |
リスク管理のポイントは、発生確率の高い、低い、そして被害の影響が大きい、小さいという4つのマトリクスで考えられる。そこから、“連鎖的に派生するリスクを早期段階で発見して封じ込める”、“発生確率は低いが影響の大きいリスクを識別する”、“リスクの分析を重視する”といった作業が必要である。
なかでも発生確率は低いが、被害の影響が大きいものに対しては、“コンティンジェンシープラン”と呼ばれる“不測の事態への対処”が必要。そのポイントは、ビジネスのアセストへの依存度チェック、風評も含めたリスク管理の2つである。いずれにしても、すべて完ぺきに対応することは不可能。事前に対応できるものと仕切れないものを分けて、どう切り捨てていくかというのがリスク管理の発想となる。
たとえば、2000年問題に対する自社やその他への影響度分析という形で、現状の再確認をするだけでもリスク管理の基盤になる。その際、参考になるのは、政府や自治体レベルの危機管理対策である。さらに“業務手順の確認”、“メッセージの標準化と伝達手段の確立”、“情報収集と認識のしかた”などコミュニケーションプランの構築も鍵になる。
資料によると、アメリカは2000年問題に対して9000項目をマニュアル化し、金融機関では96パーセントは対策ができているそうだ。日本にもそこまでのマニュアル化をとはいわないが、海外から求められている対策レベルは相当に高い。2000年問題対策とは外部圧力でもある。それはすなわちマーケットからの要求であり、対策基準はマーケットにあるといえる。
最後に付け加えると、以上の問題は大企業を基準としており、残念ながら中小企業の基準では考えられていない。だが、これからの4ヵ月間は、中小企業を対象とした対策案が集中して行なわれるだろう。
管理者の判断力――2000年問題は人の対応がすべて
引き続いて、ネットワーク・コンサルタントの好川哲人氏から“2000年問題最終点検、ネットワークは大丈夫か”というテーマで講演が行なわれた。2000年問題で最も自覚しておかなければならないのは、人の対応がすべてだということ。ロールオーバーよりも、ロールオーバーした表示を見て誤った対応をする人間のほうが本当の危機を引き起こすことになりかねないからだ。問題が生じた時に誰が判断し、対応するか、といった人間的な対策を考えることは、2000年問題にかかわらず深刻な問題である。
 |
|---|
| 「ネットワークの対策は人ありき」と強調する好川氏。最近は、企業からの2000年問題対策の相談を受けることが多いようだ |
ネットワークの2000年問題に限って言えば、来年以降も続くのではないかと思っている。というのは、ネットワークの場合、問題の再現が不可能で、トラブルの特定が難しく、いつ表面化するかが分からないからだ。たしかにプロトコルで生じる問題は論理的には解決可能だが、シミュレーションやテストで確認ができない。そのため、事前対策よりも問題が起きてからの対策が重要とされる。さらに便乗のいたずらや、フリーソフトで構築されたサーバーの2000年問題といった頭の痛い問題もある。最悪の場合、ネットワークが2000年問題の危機を拡げるメディアになる可能性がある。問題が生じた時にサーバーを停めてしまえばいい、という意見もあるが、それでも問題は起こる。どこで問題が生じて、どこで食い止められるかは、管理者の判断力にゆだねられる。
そこで対策として考えられるのはネットワーク・リテラシーを鍛えること、信頼基盤を築き、トラブルシューティングのスキルを高めるなどがある。今回の危機をきっかけに、ネットワークの果たす役割や位置づけを見直すことも大切である。自身が災害の当事者になる可能性も踏まえつつ、リスク管理という発想を身に付けていくことが、これからは重要だろう。
≪野々下裕子 younos@pb3.so-net.ne.jp≫
・サイバーセキュリティ・コンソーシアム
http://www.date.org/cybersec/
