宮崎貞至『企業情報はこんな手口で盗まれる』東洋経済新報社〔2005.1〕

　企業の中の情報セキュリティの分野というのは、半可通の技術者たちが考えることを止める分野です。思考停止をしてひらきなおる分野です。相談してみてつくづく思います。

　　たいていは「セキュリティというのは保険と同じであって完全ということは無いのであって」とか「金をかければいくらでも厳重にできますけどやりますか？」とか「利便性と機密保護は矛盾するわけですから、どこかでおりあいをつけることですね」などというようなことを言われます。相談している人を煙にまくような発言がとてもしやすい分野なのですね。職業倫理のかけらも無い発言が多いです。こういう手合いはホントに困ります。会話するのも時間の無駄ですね。私も最近は企業内でセキュリティ関係の仕事をすることになりましたので、こんな手合いからは何も得られないことがよくわかりました。

　　そこで、プロから学ぼう、というわけでこの本を読みました。さすがプロですから国家的観点からみたリアルな話題にも目配りがされています。一企業内というような狭い視野の本ではないです。ただし、本格的でまっとうな本ですから、どんな立場の方にも通ずる内容となっています。当方は今回は一企業人として読みましたがそれでも十分得るところがありました。感謝いたします。

　　要はやはり情報技術の問題ではない。そして規定、規則、制度、委員会といった形式の問題ではないのですね。さすが著者は慧眼であります。セキュリティ対策とは業務プロセスの問題でありますね。それに何よりも思考を停止する問題ではなく、考える問題であるということがわかります。

　　業務のプロセス、情報の流れをつかめ、どこが脆弱であるかチェックせよ。（これは「マトリクス診断」というらしいです）（p.137）そして流出リスクを衆知を集めて討議せよ、シナリオを描いてみよ、そして手を打てと。ごくごく正統的なことが書いてあります。（これはシナリオ分析法というらしいです）（p.231）決してソフトの話題ではないんでよね。例えば一定時刻で情報を消失させるソフトの話になったりしては駄目ですね。暗号化ソフトの話でもないわけですね。

　　「情報管理委員会」の仕事は「危機の起こりやすさと被害度を評価する」（p.231）ことだとあります。やはり考えることが重要なのですね。思考訓練をしておくことが重要なのですね。

　　ともすれば、できるところから、と称して目録を作ったり、管理者を決めたり、何かあったらそいつのせいにしよう、というような手順になりがちです。さらにＩＳＭＳ認証の取り方の話になったりすることも多いです。これは思考停止への道、形式への道ですね。それはそれでやるのだけれども、それは準備というようなものであって、中身じゃないのですね。

　　著者によれば、そういう目的を忘れた対応になるのがどうしてであるのかにもふれています。国レベルの話題で述べておられるのですが、要は「責任ある『司令塔』が欠けている」（p.243）が要因であると看破されています。さらにその要因は明治以来の縦割り行政であると分析されています。そこまで深い話であるわけですね。そして対策は「志」であるというところまで論は進みます。

　　セキュリティはとても深い問題で、志に関わってきますね。片手間で形式的な話題ではなく、技術の話題ではなく、思考の問題であり、その思考のためには志が必要、というわけなのですね。企業レベルであれ、国レベルであれ、それはそうなのでしょうね。