第129号コラム:澤田 忍 氏((株)NTTデータ 技術開発本部 ITアーキテクチャ&セキュリティ技術センタ)
題:「最近の企業の情報セキュリティについて思うこと」
先日より報道されていたチリ鉱山落盤事故において、事故発生当時から崩落箇所より奥で作業をしていた33名の鉱山作業員が全員救出されたことは記憶に新しい。奇跡の救出劇として全世界が注目・歓喜したと共に、鉱山の安全管理や危機管理策の必要性など様々に問題提起したニュースであった。
落盤事故が起こった後、帰路が塞がれ、地下数百mに閉じ込められる恐怖は想像を絶する。しかし、現場監督であるルイス・ウルスワ氏のリーダーシップ、そして作業員の行動は賢明であった。
事故発生後に、まず彼らがとった行動は、「(1)現状把握」である。
(1)現状把握
-作業員の生存状況把握
-落盤現場及び避難経路有無の把握
そして、その後、救出及び生存確認に時間がかかると予測された後に、「(2)生存するための計画」「(3)組織化による秩序の形成」を行った。
(2)生存するための計画
-食糧分配規則(二日に一回:ツナ2さじ、牛乳一口、ビスケット1枚)
-坑道内の生活空間の区画決め
(3)組織化による秩序の形成
-温度・湿度測定等の役割割り当て
-見回りグループ、休憩グループ等の任務ごとのグループ分け
絶望し混乱してもおかしくない状況の中で、救出が来るとすれば約20日程度はかかるだろうと予測し、備蓄されたわずか3日分の食料に対して生き延びるための最低限の配給計画を行い、不安で動揺する作業員を力づけ、混乱に陥らず規則正しい生活を送るよう秩序を保っていた。大惨事が起こり、極限に追い詰められた状況においては、現状を冷静に把握し的確な判断を行うことが非常に重要だと痛感させられる。
この一連の報道において、落盤事故の被害にあった鉱山作業者、国(チリ)、鉱山会社、救出作業に当たった救出部隊や各研究者、マスコミなど周りのステークホルダーとの連携も非常に興味深いものであった。
ドリルが作業員達の所に到達した際に、「生存している」という情報を伝達する必要がある。そのことを踏まえていた作業員達は、常に状況変化を察知できるよう見回りグループが坑道を調査し、ドリルを見つけた際には「33人はみんな元気だ」という例のメッセージを送付することに成功した。
その際の、チリ大統領の動きは興味深い。この感動的なメッセージを受け取った後、メディアを通じて全世界に伝え、外国の政府、研究機関に支援や助言を仰ぎ、チリ国内外のプロフェッショナルのノウハウをうまく結集し、救出に向けた協力体制を構築している。
救出トンネルの掘削、救出カプセルの開発、救出の目途が立つまでの作業員の精神的なケア、地下の劣悪な環境の改善、衣食の提供、これらを実行するには高度な技術が必要とされた。
8月31日には米国航空宇宙局NASAのスタッフが派遣され、気温30度以上・湿度は90%、再び落盤事故が起こるかもしれないという劣悪な環境における精神的なケアを行った。またNASAをはじめとして、各国から衣食や機器が提供されている。地中の作業員と地上との通信手段として日本製のテレビ電話システムが使われている。
坑道への救出穴掘削には高精度の技術は必要とされるため、石油掘削を行っていた技師が赴き、鉱山学者や各種技術者の協力とともに、坑道への掘削到達を成功させた。
各ステークホルダーがうまく連携したことで、結果として早期の救出を実現したと言える。
とは言え、良い面ばかりだとは言えない。
鉱山会社において、こういった惨事への対策マニュアルは用意されていたのであろうか。以前から迂回路や坑道補強策の欠如など安全面の問題を指摘されていたということであり、鉱山会社のオーナーが事故後数日無対応だったことを考えると、有事に備えていたとは考えにくい。
人命救助においては各人の機転や他者の力により結果的に成功したが、企業の対応と言う面では非常に危うい面を露呈したと言える。
企業において情報セキュリティ事故が起こった際には、どうだろうか。
外部・内部犯行による個人情報漏えいや外部攻撃者によるインターネットを介した攻撃など、情報セキュリティ事故・事件の記事を見ない日はない。
情報セキュリティ事故の被害や影響度の大きさによっては、企業の存続を危ぶむ大きな要因となる。
情報セキュリティ事故が起こらないよう十分に情報セキュリティ対策を講じても、事前対策で100%予防することは困難と言える。
もし事故・事件が起こった場合は、その被害の大きさや各ステークホルダーに与える影響を考慮して対応しなければならないが、常に最適な対応ができているだろうか。
事故に対して最適な対応を行うためには、危機管理策を整備し、教育や訓練によって理解を促進しておくことが有効と言えるだろう。
その際、経営者・管理職・社員、各関係部署・関係機関などの組織図は整備されているか、関係するステークホルダーは誰か、どの役割が何を行うか、情報伝達方法や意思決定ルートは整備されているか、現状把握や原因分析、対策立案をどのような手順で実施していくか、必要な情報を十分に検討しておく必要がある。
このような危機管理策を事前に整備しておくことで、より的確な判断・素早い情報伝達を行い、被害を最小限に抑える事後対応が可能となる。
チリの鉱山落盤事故から情報セキュリティ事故に結び付けてみると、多角的な観点を持って有事に備える重要性を、改めて再認識した。
【著作権は澤田氏に属します】