新人賞投稿作品

　「セキュリティ」に関する話題がニュースを賑わしている。SONYの大規模な個人情報漏えい事故、アノニマスによるサイバー攻撃、Facebookでの情報公開のリスクなどだ。会社によっては、セキュリティに注意しろとを耳にタコができるほど言われる。カバンを持ってくることまで禁止しているところもある。カバンに入れた書類が紛失するリスクがあるからだそうだ。そこまで禁止したって、漏えいするときは漏えいするものだと批判的に考えている人もいるはずだ。とはいえ、個人のスマホやパソコンからの情報漏えいを不安に思う人が増えているのも確かである。


　それでは、なぜセキュリティ対策をするのか、そして、どこまでやればセキュリティ対策は有効なのか。そもそもセキュリティって何をどう守るものなのか。そんな問題について、身近なヘソクリを例に挙げながら分かりやすくお話したい。

■プロローグ　ヘソクリに学ぶセキュリティ
　ヘソクリとは、配偶者に内緒で持つお金。日本人の平均貯蓄額は500万円ほどだが、そのうちに占めるヘソクリ額は、なんと100万円以上あるそうだ。
　ある日、私の友人Mのヘソクリが奥様に見つかった。そいつがバカだった。情けないとしか言いようがない。毎月2万円の小遣いから5千円ずつを貯めて、喪服のポケットに隠していた。法事の後、奥様が喪服をクリーニングに出して、アウト。Mが言うには、「うっかりミス」だって。ヘソクリを隠したことを忘れたまま、奥様にクリーニングに出すように依頼してしまったのだ。事件や事故が起こったとき、世の中は「うっかり」とか「ミス」とか、そんな理由では許してくれない。
　しかも、そのときの友人Mの言い訳がまた笑っちゃうんだ。「君にプレゼントしようと思って」だそうだ。すかさず奥様から「じゃあ、このお金は私が自由に使っていいのね」と言われた。自分で使えないヘソクリなんて意味がねえ。結局、小遣いは1万5千円に減らされた。
　それから、毎年、春闘の時期になると、奥様に賃上げ要求をしている。でも、ストライキまでは踏み込めずにベアゼロが続いているらしい。一瞬の気の緩みが招いた悲劇だ。
　別の友人Bは、会社からの出張手当などをもらうと、奥様には内緒にしている隠し口座に入れていた。通帳やカードも会社で保管していたため、奥様には見つかりようがなかった。ところが、「ATMで記帳するときの音を聞くのが快感だよ」って言っていたくせに、ここ最近は記帳をほったらかしていたらしい。すると、「通帳未記帳金明細」という郵便が自宅に届いてしまった。それが奥様に見つかって、アウト。結果、彼のヘソクリは奥様の貯金に組み込まれた。総額は40万円ほどあったらしい。返してもらうために、定時に帰って皿洗いなどで必至にご機嫌取りをしているようだ。まあ、返してもらうことは無いだろう。いまだにBの定時帰りは続いている。
　この２人の場合、どっちも本人が悪い。企業の個人情報が盗まれたとき、盗んだ奴が悪いと考える人はほとんどいない。対策が甘かったことだけが指摘される。少なくとも、２人の友人は、ヘソクリを一括で保管するのではなく、分散配置すべきだった。財布のカード入れ部分と、かばんのポケットなどに分けるのだ。また、事故への対応も間違った。Mの場合は、喪服の中なのだから、「親族のお金である」とでも言えばよかったのだ。つまり、インシデント対応も不十分だった。
　彼らに足らなかったもの、それはセキュリティの基礎的な知識だ。私は２人の友人に、リスクマ対応策の４つ「リスク回避」「リスク低減」「リスク移転」「リスク受容」を説明した。ところが２人とも、口を開けてぽかんとしていた。少なくとも、実家の母に預けるなどのリスク移転くらいは知っていてほしい。会社の仕事でも、アウトソーシングという言葉くらいは聞いたことがあるはずだろう。
　また、リスク低減の方法にも、隠し場所という物理的対策だけでなく、足がつかずに引き出すための技術的な対策、日々の言動や行動といった人的対策がある。しかし、２人ともそんなことを全く知らない。愕然とした。
　そこで、私が２人の友人が、今後同じ苦しみを味わうことが無いようにこの本を書いた。この本を読めば、あなたもセキュリティの本質がよく分かるはずだ。そして、あなたのヘソクリも守られるだろう。
ヘソクリは心のスパイスだ。無くてもいいが、少しあると味のある人生になる。ただし、スパイスをかけすぎると料理は食べられなり、捨てることになる。ヘソクリも、使用法を注意すると同じ結果になる。注意が必要だ。

■第１章　ヘソクリが奥様に見つかったら？　～リスクマネジメントとは～

1-1　男ならちょっとくらい遊びたいよね
　ヘソクリが見つかるという地獄を見ないためにすべきことは何だろうか。
　最初にすべきことはリスク分析である。「あー面倒くせーな」と思った人には、こう言いたい。「一生首輪をつけられた人生でいいの？」と。そうなりたくないなら、まずは、どんなリスクがあるのかを正確に分析することが大事だ。どんなリスクがあるかを見極めなければ、対応のしようがない。
　本書はあくまでも本格的なセキュリティの本である。なので、専門用語もじゃんじゃん使わせてもらう。このようなリスク分析からリスク対策までの一連の活動をリスクマネジメントって言うんだ。聞いたことあるかな。
　では、リスクマネジメントの本格的な解説に入ろう。そもそもヘソクリのセキュリティ対策の目的とはいったい何なのか。それは、(1)機密性、(2)完全性、(3)可用性の3つを実現することだ。
　具体的に見てみよう。
　(1)機密性
　機密とは、秘密と同じ意味だ。つまり、ヘソクリがあることを奥様に見つからないようにすることである。現金が見つからないようにするのは当然のこと。加えて、ヘソクリを持っていることがばれてもいけない。「あんたいくらあるの？ 正直に言いなさい」とがぶり寄られると、男はすぐに落ちる生き物だ。パーフェクトな機密が求められる。
　(2)完全性
　ヘソクリの状態が、隠した状態から変化せずに、完全であることを保つという意味だ。ヘソクリが見つかり、それを没収されないことが大事だ。もしくは、喪服のポケットに隠した現金を見つけた奥様に、勝手に使われないようにすることだ。自分の居ない時間に。
　(3)可用性
　可用とは、用いることが可能という意味だ。いくら安全だからといって、車で5時間かかる山奥にヘソクリを隠しては意味が無い。女の子とのアバンチュールには、急がなくてはいけない。ヘソクリをすぐに使える状態にしておくことだ。カードでの支払いは、記録が残るので、奥様にばれる可能性が高い。現金か、奥様に内緒で引き出せる口座にヘソクリをキープしておくことが求められる。

　次に、この3つを脅かすリスクが何かを分析する。リスク分析というのは結構奥が深いから、まずはリスクという言葉を正確に理解しよう。次の式を見てほしい。ちょっと難しいが、リスクは次の掛け算で表される。
　
　リスク＝情報資産の価値　x　脆弱性　x　脅威
　
　１つめの「情報資産の価値」とは、ズバリヘソクリの金額のことだ。ヘソクリが1000円程度だったら、奥様もガタガタ言わないだろう。２つめの「脆弱性」とは、「脆（もろ）い」「弱い」という言葉が示す通りである。たとえば、ヘソクリが隠されていなかったら、あっという間に見つかってしまう。そこで、フィギュアに換金して並べておけば、まさかそれが高額なヘソクリになっているとは気が付かないだろう。脆弱性は低いことになる。ただし、子供は脅威だね。ネットで高額で売れるとかを知らずにフィギュアをおもちゃにして遊ぶし、壊すからね。これが、3つめの「脅威」である。つまり、ヘソクリを狙ったり、隠していることを脅かす存在のことだ。こんな感じで、あなたのヘソクリのきちんとリスク分析をしなくちゃいけない。
　私の友人Mのように、喪服のポケットに入れておいた場合を考えてみよう。誰もがアクセスできて、誰もがすぐに現金と分かるのだから、脆弱性が高く、リスクも大きい。
　もう一人の友人Bは、ヘソクリを金融機関に預けておいたのだった。金融機関は個人のプライバシーが守られ、かつ安全に保管されているわけだから、脆弱性は低い。また、通帳やカードは自宅ではなく会社で保管していたわけだから、奥様がアクセスできる可能性も低い。だから、脅威も低い。しかし、40万円という高額な情報資産だったから、その時点でリスクが高い。裸で置いてある100円なんかより、よっぽど慎重に管理しなければいけない。
　ここまでの解説で、なんとなくリスクマネジメントの基礎が分かってくれただろうか。ただし、理解することと実践することは全く別物だ。実践できなければ意味がない。ではみんな。自分のヘソクリに関して、さっそくリスク分析をやってみよう。大事なことは、すべてのヘソクリについて、一つ一つリスク分析をすること。つまり、財布の中のヘソクリと、車の車検証に隠したヘソクリと、隠し口座のヘソクリがあるなら、それぞれリスク分析をする。頭の中でやってはダメ。きちんとノートに書いてね。そして、そのリスクを数値化するのだ。自分一人でやると、自分に都合がいいように考えてしまいがちだ。理想は、専門家や第三者に客観的に判断してもらうことだ。奥様に見てもらうわけにはいかないから、自分の味方をしてくれる母親か、口が堅い友達がいいだろう。
それができたら、次のセクションはリスク評価だ。