第808号コラム:石井 徹哉 理事(独立行政法人大学改革支援・学位授与機構 研究開発部 教授)
題:「日本型組織でのインシデントレスポンス」
1 ここで日本型組織というのは、はじめは中小企業や公的組織を念頭に置いていましたが、最近のいくつかの報道を見ると、実は、いわゆるJTCにもありうるものではないかとも思っています。
府省庁では、デジタル庁の設置によりようやく情報システムの調達等が一元化されつつあり、かつISMAPにみられるように一定水準のセキュリティをもつものが調達される形に変わってきています。しかしながら、独立行政法人や地方自治体では、必ずしもそうではないところ(形の上では政府対策基準に準拠し、ISMAP(政府情報システムのためのセキュリティ評価制度)による調達を実施するなどしているとしても)がまだ多く残っています。独立行政法人では、PMO(Portfolio Management Office)の設置が義務づけられ、情報システムの適切な整備をすることが求められていますが、「適切な整備」の中にセキュリティ水準の適切性が必ずしも入っているとはいえません※1。民間企業でも、中小企業における情報システムの調達は、セキュリティ水準が適切な仕様書に基づいて導入されることがないことも多いでしょう。
こうした組織的な枠組以上に、あるいは組織的な枠組と相俟ってより深刻な問題となるのは、個々の職員、従業員のセキュリティに係る意識または行動です。多くの日本型組織では、情報システム及びそのメンテナンスに関する予算、調達の意思決定は、経営組織による決定がなされるとしても、具体的な調達内容は、調達を実施する事業又は業務を管轄する組織においてなされ、情報システムのメンテナンス内容も後者の組織において業者とやりとりしながらなされることが多いのではないでしょうか。とりわけ、組織として情報システムに関する包括的な組織がない場合は、調達にしろメンテナンスにしろ日々の運用にしろ、業務又は事業を実施する組織内の一担当者が担っていることもあるでしょう。このような場合、公的機関であって入札等により調達するとしても、仕様書の内容、特に技術的な部分については、実際にその業務に使用するに適した情報システムの一つを念頭に置き、場合によっては、業者からの提案によって特定し、それに則した形で仕様書が作成されることになることも多いでしょう※2。
2 こうした調達を行っている場合、なにかのインシデントが発生した場合、外部から情報システムの脆弱性を指摘された場合、当該情報システムの担当者は、まずは当該情報システムを導入した企業又はメンテナンスを依頼している企業の担当者に連絡をとり、対応をとることになります。このとき、上述のような調達を実施している場合、「情報システムの企業>日本型組織の担当者」という(力関係ないし知識水準の)構図がすでにできあがっていること、調達に際して一定のセキュリティ水準を要求していなかった※ 3ことなどから、すべてを担当する企業任せにすることになります。担当企業が相応の水準(セキュティ、技術等)の企業であれば、適切な対応が実施されるかもしれませんが、担当企業が必ずしも適切な水準を維持しない場合、そもそも適切な対応をとることができないことがあります。酷い場合、脆弱性等についてそもそもそういうものは存在していないと回答することもありえます。脆弱性の原因についても、最初の導入時には一定のペネトレーションテスト実施した(仕様書に記載がなくしていなかったりすることも)としても、導入後の新たな機能追加に際しては実施しなかったりします。
例えば、CMSによるウエブサイトを構築した場合、プラグインも含め頻繁にアップデートすることが必要ですが、メンテナンス契約では導入時のものにしかメンテナンスがなされなかったり、頻度が月1回で緊急のアップデートがなされなかったりすることあるようです。
3 以上のほかに、こうした組織で特徴的なことは、縦割り組織であることとともに、管理職が責任回避的であり、又は管理職に悪いことを報告しづらいという組織風土が存在することです※4。これは、業務部門の個々の情報システムを担当させられている者にとっては、インシデントがあったとしても、担当する企業の担当者との間で適当に処理し、そのまま報告されないでいる、システムの担当者が情報システムに詳しくなく、担当企業の言いなりでそれに疑念を持たないでやりすごすなどの事態が起こりうることになります。
このような状況は、標的型攻撃等を受けた場合にも問題となります。一職員が標的型攻撃となるメールを開き、そこにあるリンクをクリックし又は添付ファイルを開いたことによって、マルウエアに感染したとしても、上司が責任回避的であったり、高圧的で情報のエスカレーションがしづらい場合には、なにか問題がありそうだと気付いたとしても、そのことを組織内で情報共有したり、情報エスカレーションがなされることは、期待できないでしょう。保身的な上司は、問題の可能性を指摘しても、「なんとかしろ」というだけで情報を隠蔽するでしょうし、日頃から悪い報告についてハラスメントをしているようであれば、そもそもマルウエアの可能性すら報告されないままでしょう。こうしたことは、初動対応の遅延を招き、組織的に重大な事態へと進展することになりかねません。
小さな組織であっても、インシデントレスポンスの基本は、迅速な情報共有にあります。情報のエスカレーションがしやすい環境を日頃から作っておくことが必要です。インシデント報告も、それが確かなものである必要はなく、なにか怪しいと思えば、すぐに情報共有へと動くことが可能である、そういう組織風土を醸成しておかなければならないでしょう。情報セキュリティでのインシデントの報告について、「空振り三振」は、褒められる状況といえます。対して、「見逃し三振」は、許されるべき事態とはいえないのです。「空振り三振」であっても、これにより情報のエスカレーション、組織内での情報共有、インシデントレスポンスの初動等がおこなわれることになり、実質的には、インシデントレスポンスの訓練になり、いざというときの適切かつ迅速な対応に繫がっていきます※5。
4 以上のように、個々の組織における情報セキュリティ、サイバーセキュリティの課題は、情報システムにおける技術的な課題だけでなく、適切なインシデントレスポンスができる組織的な枠組、悪い内容の情報をすばやくエスカレーションし、情報共有がなされる組織風土がより重要であることがわかるのではないでしょうか。これに関連して、重要なことは、懲戒等の処分とインシデントレスポンス及びセキュリティ上の課題発見と対応のバランスになります。あまりにも処分をちらつかせながら調査をすることになれば、調査活動への協力が十分になされないおそれがあります。調査活動の円滑さを求めるのであれば、攻撃にひかった者だけを悪者にするような事態は、避けるべきです。例えば、悪質なメールに引っかかることがあったとすれば、そのようなメールに引っかからないようにしてこなかった組織のあり方に問題がある捉える方が適切です。しかし、どうも日本型組織では、日頃の訓練や啓蒙、研修等を形式的にすませればよいと考えおり、この点を改めることも必要になってきます。
かなり雑駁な内容ですが、ここで述べたような状況がある場合には、外部からでも内部からでも、個別の情報システムの問題に加えて、こうした組織風土を徐々にでも変えていくことが必要であると思います。
※1 例えば、独立行政法人大学入試センターのPMOについてみると、CIOと調達を実施する組織である事業部の関係者及び総務並びに財務のトップで構成されており、セキュリティ関係の組織が関与するものとはなっていない。参照、https://www.dnc.ac.jp/albums/abm.php?d=22&f=abm00000024.pdf&n=独立行政法人大学入試センターPMOの設置について.pdf
※2 調達に関する仕様書が業者に依存していることは、情報システムに限らないことは、「5℃~50℃の水に対し、鋼管越しに水と非接触でゼーマン分裂を起こせる磁場を生じる品質の磁石を内蔵し、無電源で核磁気共鳴を生じるに十分な電磁波を黒体放射により供給可能な製品」を配管に装着する冷温水管の保護装置の調達及びその取消しに関する出来事でも、調達内容が特定の調達先により策定されていることがわかるであろう。参照、「【追記あり】陸自で「ニセ科学製品」? 専門家指摘で批判、会見でも記者から疑問→入札取り消しに」https://www.j-cast.com/2024/01/25476997.html
※3 神奈川県の公立高校入試の出願に際して、メールアドレスの登録にGmailを使うと、システムから登録のための案内メールが届かなかったということが報道されている。原因は詳らかではないが、Gmailの実施するスパム対策によるものではないかと推測されており、一部では、送信ドメイン認証の設定が神奈川県のシステムにおいてなされていなかったのではないかともいわれている(あくまで推測で、確定的ものではない。)。なお、送信ドメイン認証は、政府情報セキュリティ対策基準においては実施することとなっている。参照、東京新聞「神奈川県高校入試で「あってはならない想定外」 オンライン出願でGmail使うと不具合 原因と対策は?」https://www.tokyo-np.co.jp/article/303467 なお、神奈川県「神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について」https://www.pref.kanagawa.jp/docs/dc4/system.html
※4 冒頭でJTCに特徴的かもしれないと指摘したのは、最近の日野自動車、ダイハツ、トヨタ、東芝などの不正事案について、報告書等で「上司にものをいえない」状態などと指摘されているからです。
※5 元日に起きた事故において、日航機からの乗員・乗客の脱出については、これが日頃の訓練の成果であるということが報道されたことは、記憶に新しいでしょう。
【著作権は、石井氏に属します】
