本当かどうかは知りませんが銀行員はコネ採用が多いと聞きます。また銀行員は給料が高い職業としても知られています。

何故そうなるかという理由は、激務で責任の重い仕事だからだとか、転勤が多いからとか、そもそも規制産業で絶対儲かるからだとか、諸説いろいろあるかと思いますが、その中に、銀行に限らずコネ採用や高給を支払うメリットという話を聞くことがあります。それは、

・縁故採用は、紹介者の信用を人質に取っているから悪いことをしない

・高い給料を支払えば、お金に困って悪いことをしない可能性が高まる

というのがあげられます。

これは経理などもそうで、どんなにちゃんとした人でも、ふと自分が1人になった時に、目の前に自由になる現金がある。そしてプライベートで何も悪気がなくても急用がお金が必要だ!そういう時に、お金があると「ついうっかり」となってしまうのが人間というもの。

ちょっとと思って拝借した少額な現金が、不運にも返せなくなったことがきかっけで雪だるまのように大規模な不正経理になって行くニュースは年に1回ぐらいは見るのではないでしょうか。だからこそ、お金の管理を1人だけにしてあげないというのは鉄則です。

つまり製造業やシステムの用語で言う「フールプルーフ」の解決方法として使われているという説です。

情報産業は、今は3K、土方などと叫ばれています。特に運用に関わる人件費が低いのはよく言われることでしょう。ディフェンスのためのコストとしてみなされれば人件費は抑制する方向が正になるのは当然です。しかし何故か、そこで取り扱われる情報は企業の存続を脅かすセンシティブな生情報そのもの、というジレンマが存在しています。

そこで個々の担当者のプロ意識や日本人が得意とする規範意識に依存するのも良いのですが、それだけに委ねるのはリスク管理とは言いがたい部分もあります。

ベネッセの顧客情報流出の件でも、パソコンにスマートフォンをつないだたらUSBメモリとして使えることに気がついたような記事が書いてあります。しかし、今回の容疑者は、データベースの生データにアクセスする権限を持った「信頼されている人」でした。例え派遣社員といえども、データベースの前では完全に「中の中の人」のはずです。

<ベネッセ流出>39歳SE逮捕 顧客情報複製疑い 警視庁 (毎日新聞)

そのレベルで外部からセキュリティやシステムの安定性をシステムだけで維持するのは不可能です。必ずどこかに生データにアクセスできる方法が存在します。また、その技術レベルと信頼があれば、その気になれば持ち出しに関しても他の抜け道などいくらでもあるハズです。そしてデジタルデータは目に見えない、そして新しい技術はどんどん出てくる。今、解決した気になっても、明日は新しい手段が出ているかもしれません。画面の前で仕事をしてるように見えても、遊んでたり、悪いこともできてしまうのがコンピュータの特徴です。

流出経路について「たまたま今回使った手段」がスマートフォンだったと考えるべきです。

今後、対策としてUSBメモリやスマートフォンの締め付けが、今まで以上に増えることは十分に想定されますし、そういうITソリューションの人たちは商機が来たとも言えます。しかし対症療法として一定の効果はあるでしょうが、本質的な対策ではないでしょう。

こういう事件が起きるとガチガチに規制が増えていくのはパターンで、あらゆる企業の情報システム部門に対する締め付けが増えることが想定されます。その結果として生産性や日本の競争力が落ちていくことは見えています。

企業は信用が何よりも大切ですから、数年後にポジティブに転換する力がなければ、目の前の対策は将来を捨ててディフェンスに回るしか手がありません。

こういったセキュリティの話で個人的に思い出すのは、Amazon Web Servicesが公開しているセキュリティです。アマゾンが提供するクラウドインフラの安全性が高いですよ、とクラウドの不安を払拭するために頑張ってこられました。これが1つの理想的なモデルであれば、追っかけたくなる部分はあるのですが、AWSの場合は、それそのものがビジネスでありクラウドコンピューティングの成立要件だからできた投資だとも言えます。

もちろん、彼らのクラウドに対するビジョンがあってこそです。

今回の学びとしては、ベネッセに限らず、必ずも事業ドメインがIT産業ではない会社では、アマゾンのセキュリティモデルに比べて「中の中の人」の倫理観にゆだねている割合が大きい状態と言えます。乱暴に言えば、お金に困って犯行に走ってしまう状況を比較的作りやすい状況だと言えるのかもしれません。

AWSの場合はセキュリティそのものを商品にしており、情報にアクセスできないことそのものが商品なわけです。それをそのまま参考にすることはできない。Amazonだって中の顧客情報にアクセスできる特権を持った人は、どこかに必ず存在するわけです。

であれば、解決する一つの手段としては、IT投資を設備投資とだけ見るのではなく、人件費を含めた「地位に対する投資」があっても良いのはないでしょうか!?

それを長期的な視点で実現するには、何故それが可能なのか!?という「経営者のビジョン」が求められるでしょう。日本企業のIT投資に対する弱さや問題点は日々語られていますが、肝はITが、人財を含めた自社のビジネスの基幹であるとは本質的には捉えられていないことがポイントではないでしょうか。少なくともシステム管理者は交換可能な人材だと思われている部分は否めないようです。

もし銀行の行員のように、それが企業の信用を支える重要なリソースであると捉えられるのであれば、情報セキュリティ管理を外部の企業に委ねるという行為そのものも間違いなのかもしれません。日本人は勤勉なので99.99%は問題はないでしょうが、残り0.01%のリスクに備える時に、果たして今のままのIT土方という構造で良いのかは一考に値するでしょう。

今回の件を、あくまでセキュリティの問題と捉えるべからず、今後の日本のIT産業を支えるのはSIerのような請負型の技術売りのビジネスではなく、自らがITを活用するサービス企業による投資だと思っています。

今回の件は、ITに対する考え方を甘くとらえていたしっぺ返しという見方は不可能ではありません。以前、群馬で起きた食品への異物混入事件に近いものを感じています。

何度も言いますが99.99%以上は現場の人のプロ意識で問題は起きていないのです。ですが、残り0.01%に対する対応を、性悪説なだけの方法で99.99%の人たちに不便を強いる方向で解決した気になるのは、その後の選択を誤ることになると思います。

きっとベネッセさんでは沢山の関係者によって知恵が絞られ、寝る間も惜しんで対策を取られていくことでしょう。

直近で解決せねばならない問題、中長期で解決せねばならない問題の折り合いがすごく難しいと思います。今回の損害をプラスに転換させ、日本のITの競争力を加速させる変革に繋がることを期待いたします。