マクロ情報セキュリティと猿のままでいることのコスト
人間の集団に起こることは、規模がある限度を超えると、制御することはもちろん、状態を把握することも難しくなるということは、たとえば経済に関しては一定のコンセンサスがあると思う。
だから、不況に対して政府が何をすべきかということは、台風や地震のような自然災害に似たものとして語られる。
台風や地震を無くすることはできないし、起きたからと言って、起きたこと自体が政府の責任にはならない。政府の責任は、過去に起きた災害をしっかり調査して、次に備え予防策を練ることだ。そして、万が一それがまた起きた時の被害を最小限に留めることである。
不況もバブル崩壊もそれに似ている。波を無くすことではなくて、波をなだらかにすることが政府や中央銀行の役割とされている。
経済は、制御できるとしても、猛獣に芸を仕込むようなもので、猛獣が本気で暴れだしたら、人間には手に負えるはずはない。
私は、情報セキュリティについても、経済と経営の区分と同じように、制御可能なレベルとそうでないレベルを分けて考えるべきだと思う。
個々の企業の中での情報セキュリティは、制御できる領域だ。つまり、経営者が適切な対策を打ち、必要なコストを投入して規律を守れば、情報を守ることはできる。しかし、その外側には、社会全体の慣性として、本質的に制御できない、環境要因というか自然災害と似たようなレベルの情報セキュリティというものがあると思う。ここでは、それをマクロ情報セキュリティと呼びたい。
全く同じ情報を守ることが、マクロ情報セキュリティの状況によって、簡単な場合もあるし、ほとんど不可能になることもある。
それは、不況時の経営と好況時の経営の違いと似ている。同じ製品や従業員を抱えていても、景気の動向によって、企業の業績は大きく左右される。景気の波に左右されず、長い間、増収増益を続けている企業もあるが、それは稀なケースであり、大半の企業は、景気が良ければ儲けるけど、不況ではなかなか利益を出すことはできない。
だから、何かの情報が漏洩したとしても、その組織や責任者を責めることが適当であるかどうか、マクロ情報セキュリティとの関連で慎重に見るべきだと思う。
マクロ経済の指標は、基本的には好況と不況を繰り返す循環的なものだが、マクロ情報セキュリティは、年を追うごとにひたすら悪化していくだけのものだ。
情報機器に記憶できる容量は毎年増えて、同時に大きさは小さくなり重さは軽くなり、持ち運びが容易になる。また、相互に接続する機能は、高速になるだけでなく、WifiやBluetoothのような無線の利用も一般化して便利になっていく。それは他の観点からは歓迎すべき変化だが、情報セキュリティとして見ると、流出させることがどんどん容易になっていくということだ。10年前には、ラックマウントのおおげさなサーバでないと記録できない容量が、今は、指先くらいのmicroSDCardやUSBメモリに入ってしまう。
ハード面だけでなく、ソフト面というか利用形態の面でも変化は激しい。昔はファイルサーバというものは、たいてい同じフロアにある大きなサーバマシンであったのが、今では、クラウドになり海外のサーバに置かれる。しかも、そのサーバのインフラをまた別の業者がやっていて、サービス提供者でさえも、それが地理的にどこにあるか即答できなかったりする。
また、ファイルサーバの時代には、Wordの文書もExcelのシートも同じサーバに同じ管理方法で格納されていたのに、今では、クラウドコンピューティングと言っても、サービスごとに利用方法や管理方法が少しづつ違い、内容に関わらず全部ひとまとめで一緒に考えることはできない。
あるいは、社員が自分のGPS情報を公開して移動することが問題がないか、みたいな全く新しいタイプの問題が、新しい種類のサービスが誕生するたびに発生する。
しかも、そういう情報を狙う犯罪者も、カジュアルなものから国家規模のものまで多様化していて、それぞれが違うターゲットを違う意図で違う方法で狙っている。
ひとことで言えば、情報セキュリティを守るということは、退却戦なのだ。自分たちにはどうしようもなく、ひたすら悪化していく外部環境の中で、一定の防衛ラインを維持しなくてはいけない。
情報セキュリティを巡る環境が悪化していくというのは、マクロ経済が循環するのと同じように、企業はもちろん政府よりもっと大きな圧倒的な力を持つ絶対不変の法則のようなもの、とみなすべきだと思う。
マクロ情報セキュリティが悪化すると、同じ情報を守るのに、ずっと苦労が多くなる。去年と同じレベルで安全性を確保したければ、去年よりずっと厳しい規律を保ち、そのためのコストをかける必要がある。
企業の業務の中で、同じことを毎年繰り返しているのに、だんだんコストが上がっていく業務は他にないだろう。たいていの業務は、同じことを繰り返してやっていれば、システムが確立しどんどん効率的になっていく。情報セキュリティもミクロに見れば同じことが言えるはずだが、それよりずっと早いペースで、マクロ情報セキュリティが悪化している。
だから、あらゆる組織は、毎年毎年、少しづつ、守るべき情報を減らしていく必要がある。それをしないと、コストが無限に上昇するか、やってることが有名無実化して無意味になる。
そして、この問題が認識されにくいのは、進化しないことのコスト、というものが見えにくいからだろう。
猿に、「あなたは人間に進化するチャンスを逃したことで、どのような損失があったと思いますか?」と聞いても、適切な答は返ってこないだろう。
猿が人間になったことで、良かったことも悪かったことも両方あるが、そのどちらも、猿が人間を見ても認識できないものだ。猿は、おそらく、人間のことを猿の一種だと思っている。体毛がなくて動きが鈍くてアンバランスな、おかしな猿だと思っているだろう。人間は、猿に認識できないことをいろいろ始めたから人間なのだ。
古い企業がTwitterを見る時、売上高や利益や株価や従業員数を見る。非常にアンバランスなおかしな企業に見えるだろう。でも、Twitterは、古い企業に認識できないことをやっているからTwitterなのだ。
Twitterの情報漏洩事件で私が驚いたのは、情報が漏洩したことではない。何事もきちんとできない会社だから、当然そういうこともあるだろうと思っていた。驚いたのは、流出したのが、Google Documentからだったことだ。Twitterにとって、Googleはパートナーであると同時に潜在的な競争相手である。そういう会社のサーバに、役員同士のメールや経営に関する重要な機密文書を、平気で預けている。
本当に情報セキュリティに関して無頓着な会社だと思ってあきれたが、それは、無意識的なものであったかもしれないが、実際には立派な経営判断だ。つまり、情報セキュリティを重視することで、業務のスピード、特に意思決定のスピードや、状況の変化に対する組織としての反射神経が失なわれてしまっては意味がない。コストパフォーマンスを冷静に考えたら、クラウドで仕事をすべきなのだ。
実際に、Twitterの情報漏洩は、業績には何の影響もなかった。競争力の源泉はそこにないからだ。
そして、これは業種業態に関係なく、普遍的な真理である。
オフィスワークとは、本質的には定型作業と(集団的)意思決定である。定型作業は機械化すべきで、意思決定は情報の共有をベースとして行うべきだ。日頃から情報を共有していないと、変化に対する判断が遅れる。意思決定の遅れは致命的だ。共有のために使えるツールは、何でも使うべきである。
マクロ情報セキュリティを無視して、情報を守ろうとすることの本当のコストは、意思決定の遅れである。それは、猿には見えない人間の営みである。
競争相手が猿ばかりならかまわないが、やがてそこに、情報共有によって意思決定をスピードアップした企業がやってくる。そこに追随しないですむ企業はない。
ガチガチにガードしたパソコンでも、立派なグラフや表のいっぱい入ったおおげさな販売計画の文書は書ける。10年前と同じことだけをしているなら、情報セキュリティ重視で新しいことをとりあえず全部禁止しておけばいい。
しかし、それでは社内マイクロブログやスマートフォンで武装した競争相手に勝てない。相手は、印刷した立派な計画書ではなく、140文字以内のテキストの交換によって意思決定を行っている。
一部の猿が人間になったことで、他の猿も人間になるしかなくなったことが、マクロ情報セキュリティにおける最も大きな変化だ。これは人間になってから猿を見て比較しないとわからないことだが、全体としては、制御不能で止められない変化である。
マクロ情報セキュリティが悪化するに従い、全ての企業内の全ての情報は、まず社内全体で共有され、その大半が顧客に公開されるようになるだろう。それを望む企業や従業員はほとんどいないかもしれないが、マクロ情報セキュリティは、そういう個人や企業の意思とは関係なく作用する働きである。
マクロ経済の中では、人間の素朴な直感や倫理観に反することがたくさん起きている。マクロ情報セキュリティも同じで、どんなに「あり得ない」と思っても、それは止められないだろう。台風に「こっちに来るな」と言ったり、台風を批判しても意味がない。台風に備えるべきである。
