コラム

リスクマネジメント / 情報セキュリティ / 情報セキュリティ

情報セキュリティ散策 第10回:試合勘の維持

2014年02月10日

 うかうかしていたら、あっという間に年が明けてしまった。この間に(秋から冬にかけて)サッカー日本代表は、昨年中盤の不振から抜け出し、欧州強豪国に勝ったり、ニューヒーローが何人か誕生したりしている。また、年明けには本田選手がACミランへ移籍するなど明るい話題もあって、結構いい感じのワールドカップイヤーが迎えられたのではないだろうか。

 とはいえ、暗雲もなくはない。ここで一番の懸念になると思われるのが、出場機会に恵まれない選手のこと。
FW、マンUの香川選手は、一時よりは出場機会が増え、調子も良くなってきたが、まだレギュラーの座は得られていない。
さらに、DF、サウサンプトンの吉田選手もほとんど試合に出場できていない。こちらはチームの成績は悪くもないので、名誉挽回の機会もあまり期待できない状況。昨年、J2に落ちてJ1レベルの試合から遠ざかり、代表でも何となく不調が感じられたガンバ大阪の遠藤、今野両選手のことも含め、直接の関係は明確ではないが、代表チームの昨年の不調には、いろいろな側面で出場機会減の選手の調子が関係していたような気がする。

 サッカーやスポーツでは、試合勘という言葉がよく使われるが、定期的に試合に出ていないと調子を維持するのは難しいということが言えそうだ。


 さて、突然のようにセキュリティだが、ご承知の通りセキュリティに関する事故や事件というのは、定期的に起こるものではない。コンピュータウイルスなどは除き、よほど常に狙われているような企業でもない限り、セキュリティ事故、事件に合う頻度は、「しばしば」や「ときどき」ではなく「たまに」だろう。そうなると、手順やチェックシートが整備されていたとしても、セキュリティ対策が即座に実行できるかについては疑問があると言えるのではないか?

 状況は、セキュリティ事故、事件対応の専門チームがいるのといないのでも変わると思われる。
セキュリティ専門チーム不在の場合、事故、事件発生時には一般の管理職、または組織の担当者が指示を発することになる。普段はセキュリティと全く関係のない人かもしれない。セキュリティ専門チームがある場合は、ある程度の経験値や専門性があるという前提だろうから、たぶんオタオタしないで対処はできるだろう。やることは結構あるはずである。事故、事件の起こった状態では、汚染・改ざんされた情報を隔離するとか、想定される漏洩ルートを遮断し二次的な被害を防止するとか、被害状況や内容を関係者で確認・共有するとか、お客様や関係先にはお詫びするとか。そのうえで原因究明のための作業を指示するとか。まあ、これらは一部にすぎないが。

 あなたの組織では、セキュリティ対策にあたって指揮をとる人は明確になっているだろうか?そしてその人は、突然のトラブルに耐えそうだろうか?
万一のときも安心して非常時の対処を行うとなれば、やはり日頃の備えが大切と思われる。データセンターのような組織や金融機関などはともかくとして、一般の事務所では、セキュリティ監査をしていたとしてもトラブルの対処訓練をやっているところは、あまり多くはない。セキュリティ監査は、極めて簡単に言えば、するべきことができているかを確認するものだから、セキュリティトラブル発生時のドタバタに備えるものではない。万一の時を想定すれば、ドタバタに耐えられる人が何人かはいて欲しいものである。そのためには、非常に簡易なものだとしてもセキュリティ対処訓練を行ってみて、担当者や周辺の人の適性を確認するとともに、試合勘を鍛えることが必要だと思われる。

 本田選手の出場機会がACミランで確保されることを祈りたい。せめてワールドカップ時には、試合勘が狂うことのないように。香川選手だって、試合に出ていないときは苦しそうだったから、ねえ。

早乙女 真
​​MENU