セキュリティ」タグアーカイブ

有価証券報告書は、ロボットに作らせる?

投稿日時: 投稿者:

日産自動車前会長による有価証券報告書の虚偽申告の事件は、世間に大きな衝撃を与えました。報酬を過少に見せるという、経営者として、組織のトップとして、決してしてはいけないことを常態化させていたようだと伝えられています。日本を代表する自動車メーカーのひとつである同社の大変な危機を救い、ブランドを守った功績のあるカリスマ経営者であることはいささかも疑いの余地がありませんが、欲望を端に発するような不祥事は栄光も善行も帳消しにしてしまいます。

非難されるべきこと以外のことまで持ち出して一緒くたにする、こういう時のマスコミの批判のしかたのイヤらしさはともかく、わたしは報道を見ながら「こういうものこそロボットにやらせればいいのに」と考えていました。

ロボットによる自動化の使いどころには、いくつかの考え方があると思います。それを考えるのも、しくみのデザインです。その切り口のひとつが、人間による不正や犯行の抑止です。

機械には、感情がありません。意志がありません。空気も読めません。この特性は、人間の気持ちに配慮するような対応を実現しようとする場合にはマイナスに働きますが、不正の抑止という側面ではプラスに働きます。機械が自らの欲望に負けて不正を行うことはありません。

以前、アマゾンの物流センターの話を聞いたことがあります。そこで使われているオレンジ色をした箱形の搬送ロボットの話は有名ですが、実はこのロボットが動作する商品棚のエリアには、人間が立ち入ることはできないのだそうです。なぜなら、商品棚のある場所に人間が自由に立ち入れるようになっていると、商品を盗む作業員が出てくるリスクがあるから。また、配送する段ボール箱に出荷ラベルを貼る作業も、ロボットが自動で行い、人間の介入は許さないのだそうです。なぜなら、そのラベルに書いてある宛先は個人情報であり、プライバシー情報を持ち出す作業員が出てくるリスクがあるから。

人間による不正が行われるリスクがある業務プロセスを見極めるという考え方は、欧米ではよくあるアプローチとはいえ、さすがアマゾン、よく考えていると感じました。

そんなことを思い出しながら、有価証券報告書もロボットがつくればいいのにと思いつつ、同時に、たぶん誰もやろうとしないだろうなとも考えました。ロボットに仕事を奪われる経理部門の人たちが拒絶反応を示して、購入を許容しないかもしれません。自ら積極的に導入を考える経営者がいるかといえば、そんなふうにリスクヘッジをしようとする経営者はそもそも、不正を働こうなどという欲求は持ちえないでしょう。

お客さまの話なのに半分くらいしか信用しない理由

投稿日時: 投稿者:

わたしのような、業務分析を行うスキルを持つコンサルタントは、企業の支援に入る際に、その前段として「監査」と呼ばれる行為を行うことがあります。なにぶん言葉が威圧的ですので、お客さまに直接「監査します」と申し上げることはほぼありません。そう言わずに、そういう調査活動をしています。

これは、初めて関わる顧客について深く知るということが主目的ですが、この「深く知る」にはいろんな意味が含まれます。

例えば、訪問先の企業において経営者やリーダーの方々からお話をうかがいます。すると、出てくるのは9割がた「素晴らしく優秀な話」です。素晴らしい実績、優秀な人材、機動的な体制、クオリティの高い仕事、高度な技術、興味深い取り組み、獲得した褒賞資格認証、等々。

感心しながらお聞きしていますが、その時点では内心、話半分で聞いています。本当にすごいのかは、客観的に検証する必要があるためです。

見下すような気持ちは毛頭ないのですが、話を聞いただけでは、コンサルタントはまだ疑っているのです。これは個人的な性格の問題でもありません。一応、理由があります。次のエピソードを例に説明したいと思います。

ことしの2月、産業総合研究所(産総研)は、標的型攻撃により外部から不正アクセスを受けたことを明らかにしました。その後、去る7月にその詳細と対応方針をまとめた報告書を公表しています。

A4用紙50枚にわたるその報告書によれば、不正アクセスは昨年10月末から今年2月にかけて継続的に実行され、研究所管内のあらゆる業務システムに不正にアクセスをされたとのことです。犯人は、4カ月間かけて不正なログインを次々と成功させていったようです。

不正アクセスを許すに至った大きな要因としては、脆弱なパスワード設定をしていたアカウントの存在、サーバー設定の甘さ、などと結論付けています。

産総研といえば、著名なセキュリティ研究者が在籍するなど、国を代表する研究機関のひとつです。従前から、世間並み以上の情報セキュリティマネジメント体制がありました。CISO(最高情報セキュリティ責任者)もいて、委員会組織もあり、各部門にも情報セキュリティ責任者がいました。外部委託して運用監視もしていましたし、パスワード設定の所内規定もきちんとありました。

このインシデントが起こる前に、産総研の情報セキュリティ対策について(単に)話を聞けば、(専門家を含めて)ほとんどの人が「十分な体制だ」と評価したに違いありません。おそらくその気になれば、情報セキュリティ分野で国際的に価値が認められている「ISMS(ISO27001)」認証が取れるくらいのマネジメント体制だったと思われます。だからこそ、おそらく犯人の最大の目的であったであろう、機密情報の漏えいには至らなかったのでしょう。

しかしながら現実は、標的型攻撃には少なくとも4カ月間気づかず、気づいたきっかけは監視の結果ではなくまったくの偶然、不正を許した最大の要因は(報告書曰く)「キーボード配列をなぞっただけの安易な」パスワードやサーバー設定の甘さでした。

このエピソードから教訓として得られるのは、シゴトの仕組みというのは「実際に実行されて初めてその意味を成す」ということです。体制がある、ルールがある、機能がある、手順がある、だけでは不十分で、組織が完全に実行しなければ(または実行できないならば)、決めていることのすべてが無意味になりかねないのです。

産総研でも今回、その点に大きな反省を示しています。報告書には今後の対策が整理されていますが、その多くは管理体制の見直しと強化です。

わたしのようなコンサルタントが、話を聞いただけでは信じない理由が、ご理解いただけたでしょうか。話を聞いた後、それを裏付ける行動が実際に示されるかどうかを、必ず確認しに行きます。「監査」とは、かみ砕いて言い換えれば、「言っていることとやっていることが一致しているかを確認する」調査活動のことです。一致していない場合、そこに克服すべき問題があることが多いのです。

データ流通のハブとして期待したい「情報銀行」

投稿日時: 投稿者:

先日の報道によれば、政府は「情報銀行」の創設に向けて本格的な検討を始めたとのことです。実証実験を行い、2018年度中の法整備を目指すとしています。

「情報銀行」とは、個人のライフログ、つまり行動履歴、購買履歴、診断履歴、趣味情報、スケジュールなどを含む個人情報を、個人の預託に基づいて一元管理する制度または事業者のことです。銀行におカネを預けるように、個人情報を信頼できるかたちで預ける機関として考えられています。

現在こうした個人情報やプライバシー情報は、各事業者でバラバラに取得および保管され、またその利用のされ方も必ずしも明確にされているとはいいがたいケースがあります。個人の意向を中心に据えて一元的に情報を管理することで、正当なかたちで個人情報が流通し、事業者が個人に最適化された適切なサービス・情報を提供することにつながる、と期待されています。

このアイデアは、識者を中心に数年前から提唱されていましたが、いよいよ本格的な実現に向けて検討が始まるようです。コンセプトそのものは、大いに期待が持てると思います。

重要なのは、「個人が自らで情報提供をコントロールできる」という点だと、わたしは考えています。

一部の事業者によるライフログの利用、また個人情報の取扱いに対するスタンスは、いわゆる「気持ち悪さ」がぬぐえないものがあります。実際、昨年11月に発表されたNTTデータ経営研究所による調査では、企業がパーソナルデータを利用することへの印象について、48.9%が「知っており、不快である」、21.4%が「知らなかったので、不快である」と答え、計70.3%が不快感を示しました。

この背景には、サービス提供や情報提供、ポイント提供などを受けることで、ライフログや個人情報が利用者の無意識のうちに(一部では勝手に)収集されている側面、個人情報の活用に対する利用者側へのフィードバックに必ずしも透明感がない側面、などがあると思われます。一部の事業者では相当に事業者寄りのかたちで利用規約改正を行い、取得した履歴データを自由に使ってよい環境を整えようとしている傾向がありますが、利用者の側は規約の改正やその意味合いなどほとんど知らない、というのが現実でしょう。ポイントカードなどでは、カードを作った以降に提携企業が知らぬ間に増え、知らぬ間に自分の情報がいろんな企業に流通しているという状況も推察されます。要するに、正直さが足りない感じがするわけです。

こうした不安感を払しょくし、個人が自らのコントロールのもとで、自分がよいと思った事業者だけに喜んで情報提供する。預けるべき情報も、自分の意志でコントロールする。一切知られたくない、怪しいから提供したくない、と思えば何も預けないという選択も取れるし、どんどん企業に提供してお得な情報を得たいと思えば預ければよい。本来あるべき情報流通の姿ではないでしょうか。

セキュリティリスクをゼロにすることが事実上不可能であるという事実を踏まえて、情報銀行をどのようにセキュアに運営するのかという大きな課題はあります。こうした機関から万一情報が漏えいすれば、取り返しがつきません。米国では患者の診療情報などが積極的にデータ化されていますが、病院から漏えいしたそのようなデータが、ダークWebで売買されていたりする現実があります。

そうした課題に適切な対策を打って設立を実現できるなら、今後のデータ活用の活性化にもつながる方向性でないかと思います。期待したいところです。

経営者が意識すべき、情報セキュリティ体制2つの視点

投稿日時: 投稿者:

この約1か月ほど、情報セキュリティ対策に関する知見の整理とアップデートを集中的に行いました。

当社はお客さまに情報セキュリティマネジメントに関する助言等を行う機能も有していますが、情報セキュリティ技術専門の企業のような、攻撃者が繰り出すサイバー攻撃を日々監視しその手口を分析するという機能までは有していません。各方面から日々公表される情報の収集と知見の更新は欠かせません。

今回の当社内での検討でも、企業においては最新動向を踏まえて遅くとも1年周期での社内体制や管理手法の見直しは欠かせない、ということを改めて実感しています。

ここ最近も、大々的に取り上げられるようなサイバー攻撃事案が再び発生しました。メディアに取り上げられるような例を見て、何百万件もの個人情報が流出するというのは大企業ならではであって中規模以下の企業が狙われる可能性は少ない、と考えるのは間違いです。取り扱っている事業内容、取引先や顧客のプロファイル等によっては、小企業であっても十分狙われます。

例えば、社内に個人情報を持たない小企業であったとしても、その企業の取引先が攻撃者のターゲットとなる大企業であるなら、攻撃者はその小企業を「踏み台」として乗っ取ることを考えます。攻撃者にとってはむしろそのほうが発覚しにくく狙いやすいうえ、本命のターゲットに対してより高い権限を容易に獲得できる可能性が高いのです。

今回のコラムで経営者の方にお伝えしておきたいことは、次の2点です。

ひとつは、事業を支えるシステム基盤を構築する時点で情報セキュリティ管理も併せてデザインし、システム基盤にセキュリティ設計も同時に組み込むことが重要であるという点です。

セキュリティ対策というと、ファイアウォールを設置する、アクセス制御を施す、ウイルス対策を行う、などが思い浮かぶと思います。それも重要ですが、単に製品やサービスを導入するだけでは「設計」とは言えません。攻撃された場合、攻撃が成功してしまった場合、どのようにその事態を検知し、どのように反応するのか。そうした対応のしくみをデザインしたうえで、それに必要な技術要素を基盤に組み込んでおく、ということです。

情報セキュリティ対策はどうしても後付けになる傾向があると思います。また社内の体制においても、現場レベルでは開発技術者とセキュリティ担当者は別になっていて、あまり連動していないケースが多いものです。そうした状況を踏まえて、組織内でうまく連動して、適切なセキュリティ対策が考慮された基盤設計および管理ができるような体制づくりが求められていると思います。

その中で特筆すべきは、ログの取得と管理です。ログは、どこか一か所で取得するだけでは満足な情報になりません。自社の管理領域内の複数の箇所で、取りたい情報を意図的に取得しておかないと、有事に情報不足が露呈するのです。それはどこにすべきか、分散しているログをどのように集約するか、有事の際にどう分析をかけるか。そうした検討が要求されます。

綿密な設計のもとに取得されたログでなければ、攻撃されたとしても、何が起こっているのか、被害があったのかなかったのか、何もわからないことになるでしょう。先の大規模漏えい事件でも、企業の関係者から「ログがないのでわからない」という主旨の発言がなされていました。

もうひとつお伝えしておきたいことは、攻撃を完全に防ぎきることはできないのが現実であるなか、社内体制の構築に対してその企業が「どこまで考え抜いたか」が問われる、ということです。

様々なところで言われていることですが、現在においては、企業がサイバー攻撃を100%防御することはほぼ不可能です。もし攻撃者にターゲットとされた場合、執拗に攻撃されるなかで、ある時点で侵入を許してしまうことは不可避と考えるべきです。

防御対策を可能な限り講じるのは、もちろん必須です。事実、当たり前ともいえる対策だけでもかなりの攻撃を防ぐことができます。現在ではもはやそれだけでは不十分で、攻撃され侵入を許した場合のインシデントレスポンス体制を組織として築いておくことも必須であると考えていただきたいと思います。

攻撃を受けた場合、例えば、疑いのあるPCをネットワークから外す、そのPCにウイルスチェックをかける、そのPCの電源をOFFにする、などの対応を思いつく向きもあるでしょう。しかし実は、行動によってはかえって問題を複雑化させ、攻撃者にさらなる攻撃の余地を与えてしまう「間違った行為」であることがあります。とっさの行動が間違った行為にならないよう、攻撃のパターンを予め学び、その対応策を予め検討し、有事でも円滑で適切な行動がとれるようにしておくことが重要です。

有事に対応を誤れば、その間違いの大きさが事業リスクの発現に直結します。逆に、組織が学びを深めておけば、攻撃に対する目がより利くようになり、攻撃の検知能力だけでなく、未然に攻撃を防げる確率は間違いなく向上します。

どの企業も、こうしたリスクと無関係にはなれない時代です。関連情報を継続して知り、いま起こっている事態を把握し、その特性を学んで、それをもとに自社をアップデートしていく。こうした活動をルーチン化して、継続していただきたいと思います。

年金情報漏えい事件で、経営が考えるべき2つのこと

投稿日時: 投稿者:

6月の初めに日本年金機構による年金情報漏えい事件が明らかにされて以降、公共団体、自治体、教育機関など多数から、堰を切ったように標的型攻撃被害の公表がありました。

企業にとっても、ひとごとではない事態です。マイナンバーの施行を控え、同様の事態が自社に発生した場合の影響をよく想像しておくべきだと思います。

標的型攻撃の特徴、情報が漏えいする仕組み、各種の対策などは、さまざまな方面から識者が十分な情報をすでに紹介しています。詳しいノウハウはそちらを参照いただくとして、このコラムでは、幸いにも被害が及んでいない企業の経営者に向けて2つの点をリマインドしたいと思います。

ひとつは、攻撃を受けたことが自社で検知できるようにしくみを整備しておくべきである、ということです。

具体的には、検知に必要なログを取得し、問題に対しては警告が挙がるように設定し、かつそうした機能の稼働状況を普段から監視することです。普段から様子を見ていなければ、普段と違うことに気付くはずがありません。

言ってしまえば当たり前のことですが、おそらく多くの企業・団体で、こうした「運用」をまともに行っていないと思われます。

そのせいか、ここまで多くの攻撃被害の公表で、その発見のきっかけは「外部からの指摘」になっています。最近では、情報の漏えいを外部から指摘されるまで半年以上気づかなかった、という事例もありました。

こうした例があまりに多すぎて「社外から指摘されるのがフツウ」という風潮になりはしないかと、大変危惧しています。本来は、自ら気づくべき問題です。結果的に外部の指摘が早かったとしても、少なくとも自ら検知できるようにする努力と、必要な投資はすべきです。

もうひとつは、こうした攻撃が発覚した場合の行動原則を明確に定め、組織内で共有しておくべきである、ということです。

メールや個人情報の取扱いについて厳格化するなどセキュリティ保護のルールを固めることも必要ですが、一定レベルを超えて厳しくすると現実的ではなくなります。ルールの厳格化と業務の効率性は、トレードオフの関係です。顧客に提供するサービスの質を考慮して、両者の適切なバランスを取ることが、セキュリティ対策の前提条件であり現実といえます。

ただしそうなると、外部からの攻撃リスクは無視できるほどに軽減されることはありません。まして、攻撃手法は日々、巧妙さの度合いを増しています。企業側が現実的な対策を維持したとしても、リスクはおそらく今後も上がっていく傾向になるでしょう。

このことを踏まえて、保護対策を継続して取りつつ、万一攻撃が発覚した場合に自社内ではどうふるまうのか、平時のうちに決めておくことが重要になります。

「自社では対応しきれないから外部の専門家に依頼する」でもよいですが、それでも自らで行うべきことや留意すべきことはたくさんあります。下手な動きをすると、攻撃を防いだつもりが拡大させてしまったり、そのつもりがないうちに攻撃された痕跡を消してしまい証拠がなくなってしまうこともあるのです。

専門的な知識が無ければないほど、平時のうちに正しい行動とは何かをきちんと精査し、行動原則を決めておいて、有事に迷わず、対応を間違えないようにしておくべきです。

また、日本年金機構の公表の遅さが批判された結果、後続の被害案件では、被害状況が不明なうちに即座に公表する組織が続出していましたが、即時公表が必ずしも正しいとは限りません。

社会的影響が大きい漏えい問題ほど、公表すれば外部からの問い合わせが殺到します。そのときにスタッフがそれをさばける体制が予め整っていなければ、社内が火を噴き、対応が後手に回ることで、余計に信頼を失うことになりかねません。日本年金機構の場合は事実確認から公表までが1か月とあまりに遅すぎたのが批判されていることに、留意すべきでしょう。

経営者の方々には、情報セキュリティ関連の事件のときはいつでもそうなのですが、一連の事件を他山の石として、自社の対策に活かすべく具体的行動をとることをお勧めします。少なくとも上記のような検討をきちんと済ませていれば、今回の件に対して「そんなメールを開くとは注意が足りない」などという、聞く人が聞けば底の浅さがわかってしまう発言をすることもなくなるでしょう。

セキュリティ問題発覚=責任者辞任、でいいのか

投稿日時: 投稿者:

7月初旬に発覚し大きく報道された、ベネッセコーポレーションの顧客情報漏えい事件。漏えいの規模は2000万件以上、4000万人~5000万人が対象になるということで、世間にこれだけの動揺が広がったのは無理もないでしょう。

すでに、同社のシステム開発・運用を手掛けるグループ会社・シンフォームの業務委託先の元社員が、不正競争防止法違反の容疑で逮捕され、容疑を認めているということです。犯行の手口も明らかになってきており、犯人は自身のスマートフォンに顧客情報をコピーして持ち出したとされています。

ベネッセコーポレーションでは、他の多くの企業と同様に、社内端末に対するUSBメモリーの接続を禁止する対策を取っていたようです。しかしながら、スマートフォンを外部ストレージとして使用した場合に、多くはUSBメモリーと同等の振る舞いをするところを、犯人のスマートフォンはUSBメモリーと同類のデバイスとしてふるまわず、接続制限が効かなかったと推定されています。

こうしたスマートフォンによる抜け穴は、専門家の間でさえも昨年から話題になり始めていたものでした。この方面の技術動向にくわしい人材でない限り、知らなかったとしても不思議ではありません。すでに対処ができている企業も、まだ少ないと思われます。

それほどに微妙な個所に脆弱性があり、それが今回悪用されたということです。

わたしが気になったのは、この件を受けて、漏えい発覚直後に、本件の責任を取るかたちでベネッセコーポレーションのCIOの辞任が発表されたことです。

確かに、この事件が社会に与えた影響は甚大です。しかし、こと情報セキュリティの問題においては、そうだからといって辞任するのが真っ当というものではないと、わたしは考えています。

情報セキュリティのリスクは、どれだけ対策しても、残念ながらゼロにはなりません。したがって、どれだけ優れた対策を、どれだけ費用をかけて行っていたとしても、事故は発生しえます。今回の問題などは、推定どおりだとすれば「最近までは存在しなかった脅威」が原因ですが、こういうことは将来にも起こりえます。

また特に、内部犯行の防止対策には、限界があるのが現実です。たとえて言うなら、ご自分の自宅の空き巣対策にはある程度の防止策はとれても、家族のだれかが家の貴重品を持ち逃げするのは防ぎにくい、ということに似ています。

もちろん、内部犯行の対策としてできることはあり、情報資産の重要度に合わせてそうした対策は実行すべきです。重要度が高いのなら、技術動向にも感度を高めるべきでしょう。その点で、同社には不備があったのは疑いの余地がありません。

ただし、その不備がどの程度のレベルの不手際なのかは、実際に行われていた措置の内容に依ります。つまり、同社のような規模、かつ同社のように重要な顧客情報を取り扱う事業者であれば絶対確実に実施すべきと、客観的にそう判断される事項が実は行われていなかったのだとしたら、または守る体制の整備をする義務を著しく怠ったと認定されるなら、それはエグゼクティブの責任問題になるということです。

一方、そうではなく、事件発覚前に行われていた情報セキュリティ対策が他と比べてそん色がなかったものの、その穴をかいくぐって犯行が行われてしまったとしたらどうでしょうか。それもエグゼクティブの責任問題だとしていたら、ロシアンルーレットのようにいつか必ず「責任」を取らされることになる情報セキュリティ責任者のなり手は、おそらくいなくなるだろうと思います。

重要なのは、情報セキュリティに知見のある人物が、権限を持って組織をリードし、顧客や社外に明確に説明できる情報セキュリティ対策を実行し、継続して改善を推進することです。事件や事故が起こるたびに責任者が辞任するのでは、組織が混乱するだけで、余計に脆弱になる可能性さえあります。

マスコミや、いわゆる識者と呼ばれる人たちは、多くの場合結果論だけで評価します。問題が発生したのだから、「問題がない」とは言わないでしょう。あとから批判されたくなくて辞めるかどうかは、会社や責任者本人の判断です。しかしわたし個人は、自社が行ってきた取組みをきちんと外部に説明する責任を果たせるよう努めてきたのなら、短絡的に辞任という判断につなげてほしくはありません。特に大手がそういう判断をすると、「事件発生=辞任」という悪しき前例になりかねません。

また、経営者は、情報セキュリティの対策に十分な関心を普段から寄せているでしょうか。そろそろ経営者には部下に対して、「うちの会社は大丈夫か」と聞くのではなく、「うちの会社はどう対応しているのか」と聞いてほしいと、常々思っています。

「標的型攻撃は防げない」は、セールストークではない

投稿日時: 投稿者:

先日、データセンター事業を営む友人から、外部からのサイバーアタックの実態について話を聞く機会がありました。

わたしも情報セキュリティの分野に関しては、ポリシー策定や体制作りのお手伝いをすることがあり、知見や現状に対する認識は持っているつもりですが、それでもなお、その話は衝撃的な内容でした。

あまり詳しくは紹介できないのですが、ひとことで表現するなら、「そこまで洗練されているのか」という印象です。

狙った対象がどんなシステムを所有しているのかを走査してプロファイリングする。不正ログインを試みるにあたって、攻撃相手に気付かれないように十分に時間をあけてログインを試行する。攻撃相手の回線帯域をすべて使い果たすような一斉アクセスを行う。Webサイトに入力フォームを見つけたら、脆弱性をつく攻撃を試みる。攻撃元がランダムに見えるようにアクセスを試みてブロックされることを防ぐ。

こうした行為が「すべて自動で、無差別に行われているように見える」と、友人は語っていました。

ここ最近、情報セキュリティの専門家が、「標的型攻撃においては、狙われたらほとんど防ぎきれるものではない」という趣旨の発言をたびたびしています。実態を聞いて改めて、これはまったく大げさな言い回しではないと、再認識することができたと感じます。

ユーザーの立場ではこうした脅威に対し、予防策としてはきわめて当たり前の対策しか取れません。例えば、パスワードは十分な強度のものを使う、そして定期的に変更する、使用するシステムの脆弱性はアップデートにより最新を保って排除する、余計なシステムは動かさない、ファイアウォールやアンチウイルスなど当たり前のことは必ず適用する、等です。当たり前とはいえ、これらは実際に大きな効果があるので、もれなく実施するべきです。

ただしそのうえで、「カギはきちんとかけたとして、それでも破られたらどうするか」という事後対策もまた、十分考えて整備しておく必要があります。この対策には、攻撃を検知できる手法や攻撃に対応できる技術、また反応できる体制が必要です。そのスキルがないのなら、それを持つパートナーを探しておくことも、取るべきアクションのひとつになります。

特に重要なのは、「体制づくり」です。

前記の話をしてくれた友人は、実際に攻撃を受けた企業でも、まったくその実感がわかず、適切な対応の指示をしないようなCIOが、実際にいたというエピソードも話していました。CIOであるにもかかわらず信じられないことですが、意識が低く知識もないと基本的な反応さえできないという、典型例ではないでしょうか。それはまるで、急病人が目の前に倒れているのに救急車を呼ぶことを思いつかない、というのに似ていると感じます。

 

ビッグデータより、ビックリデータ

投稿日時: 投稿者:

ときどき、ホテルやレストランなどで、ちょっと感動するサービスに遭遇することがあります。

例えば、宿泊先のホテルで。チェックインの際に、ホテル内のジムが何時から開いていてどんなサービスがあるのか、フロントの人に少しくわしく質問します。いろいろ教えてもらった後、部屋に入り、食事を済ませてからジムへ行ってみます。すると名前を告げるなり、受付からもインストラクターからも「お待ちしておりました」と言われます。こちらが使ってみようと思っていたサービスを、こちらが伝える前から紹介しはじめました。

例えば、日本料理の店で。来店の際、座敷に上がるため、靴を脱ぎます。居酒屋などでは、げた箱に入れてセルフでカギをかけたりしますが、ここではそういうものは見当たりません。大きなげた箱が玄関に置かれていたので、自分で靴をそこに入れ、店内に入ります。おいしい食事をいただき、満足しながら店を後にしようと出口に向かうと、玄関にはすでに、自分の靴が並べられて土間に置かれていました。

いかがでしょうか。似たような「おもてなし」体験をしたことがあるかたも、多いのではないかと思います。

これらの例を実現した秘密をひも解くなら、前者はフロントとジムで情報共有ができていた結果であり、後者はサービス担当が顧客の持ちものを記憶するように訓練されていたから、ということになります。

こうしたことから、よいサービスになるものの共通項は「自分のことを知っていてくれる、覚えていてくれる」ということだ、と理解できます。これをIT技術で実現しようとしているのが、最近話題の(特にマーケティング分野での)ビッグデータなわけです。

実際にこうしたデータ収集に取り組む人々がどういう思いでいるのかまでは存じませんが、顧客の情報を集めれば顧客を知ることになり覚えることになると、単純にそう思っているのだとしたら、わたしには、大事な気づきがひとつ抜けているように思えます。

それは、「自分のことを知っていてくれる、覚えていてくれる」ということばの前に、「思いがけず」が省略されている、ということです。

何かのサービスを受けて感動するとき、たいていその理由は、「そんなことをしてくれるなんて思いもしなかったから」ではないでしょうか。上記の例でいえば、もし顧客が「ホテルでは情報共有されていて当たり前、フロントに話したのだからジムの担当者は自分が来ることを当然知っている」と思っていたとしたら、どうだったでしょうか。もし顧客が「日本料理店の従業員は、客の持ちものを覚えているのは当然。店を出るときには当然靴が出されている」と思っていたとしたら、どうだったでしょうか。

つまり、サービスが感動を呼ぶには、顧客を「知っている」ことではなく、顧客が「思いがけない」「想像していなかった」ということがより重要と思えるのです。

もうひとつ挙げるなら、「その行為がリアルタイムに起こる」という点も、見逃せません。上記の例でいえば、ホテルのフロントも、日本料理店のサービス担当も、感動につながる行為を「その場で」実行しています。昔から顧客の興味や情報を知っていたわけではなく、その場で情報を入手し、その場で処理して、その場で行動しているのです。

こうして考えてみると、顧客からたくさんの個人情報を吸い上げ、それを分析し、そこから得た知見を活用するというような取り組みだけでは、たとえそれがワントゥワン・マーケティングだったとしても、感動は呼ばないだろうという考えに至ります。なぜなら、顧客はその企業にあらかじめ自分のことを教えているからです。「その情報を使って分析するんでしょ」と、もう思われてしまっているからです。

「いや、レコメンドするのは、お客様が便利になるからです」とおっしゃるのなら、そうかもしれませんね。それなら、「たったそれだけしか教えていないのに、なんでわかったの」と言われるくらい、少ない情報からレコメンドすれば、感動されると思いますよ。

パーソナルデータ問題に見る、企業サービスの新たな局面

投稿日時: 投稿者:

ビッグデータが経営のトレンドとして取り上げられるなかで、パーソナルデータの取り扱いに注目が集まるようになっています。

パーソナルデータとは、個人にかかわる情報ではありながら、それだけでは個人の特定はできないので「個人識別情報」とは呼べない類の情報のことです。例えば、店舗での販売履歴、位置情報、ネットのアクセスログなどが該当します。

個人情報から個人の識別性をなくすこと(匿名化)で、その情報は「非個人情報」になり、個人情報保護の対象からは外れます。しかし、どこまで処理すれば匿名化したと言えるのかが定義しづらいことが、まず問題です。さらに問題なのは、個別のパーソナルデータのみで個人を識別できなくても、ほかのパーソナルデータなどと組み合わせることで、容易に個人を識別できてしまうという事実です。最近では、Suicaの利用履歴をJR東日本が日立製作所に販売したとして、その適切性について論議を呼んだのが記憶に新しいところです。

こうしたなか、国内でもパーソナルデータの取り扱いに関するルールづくりが進められています。データの入手如何が企業経営に大いに影響することが注目されているいま、その取り扱いに当たってルールが必要であることは衆目の一致するところです。

ルールに関する議論は、有識者や企業関係者を交えて、大いに行うべきだろうと思います。対立軸は「保護」か「活用」かであり、さまざまなユースケースを踏まえてグレーゾーンができるだけ残らないような線の引き方をすべきです。一部の知識人に、新しいことを試すのにグレーはつきものであるといったような発言をされている方を見かけますが、グレーに無頓着で決めるべきことを決めないから後で問題が発生するのです。世に問うことといい加減なこととは、質の違う話だと思います。

一方、どのようなかたちでルールが決まったとしても、顧客や利用者には一定のリスクが伴うことは、間違いありません。実際、有識者の間でも、汎用的にパーソナルデータを匿名化することは、技術的に不可能という結論が出されています。つまり、データを活用したい企業には顧客や利用者に対して一定の説明が必要になりますし、顧客や利用者はそれを承諾して情報提供をすることになるわけです。

その時点で顧客に「気持ち悪い」と思われたら、その企業のサービスは使われません。

最近、Google Glassは画期的な広告提供手段であるといわれるようになっています。Glassをかけているユーザーの趣味嗜好、位置情報、検索履歴などを参照することで、そのユーザーの現在地において顧客の嗜好に合致した広告主の商品やサービスがヒットするなら、そのタイミングでGlass上にレコメンドやクーポンを出せる仕組みが考えられるからです。

これを聞いて、「ジャストタイミングでお得な情報が得られるなんて便利だ」と思う人もいるでしょう。一方で、「なんだか監視されているようで気持ち悪いし、必要な情報なら自分で探しに行くから要らない」と思う人もいるでしょう。

企業がパーソナルデータを含めたビッグデータを活用するうえで大事なのは、「情報提供リスクをかぶっても余りある価値をもたらすサービスだ」と顧客に認めてもらえるかどうか。そう考える必要があると思います。企業視点でデータを使い倒し売上を上げることに傾倒せず、データを活用して顧客が喜ぶ価値提供の仕組みを考えられるかどうかが、企業に要求される課題なのです。

こうしたことが世間の話題に上れば上るほど、利用する側は賢くセンシティブになっていきます。ルールなんていい加減なレベルにしておいてほしい、自由度が高ければあとから何でもできる、などと考えている企業は、そのうち顧客に、利用リスクの高さを見抜かれて敬遠されてしまうでしょう。リスクを正しく理解してもらったうえで顧客に選ばれるサービスを提供する公明正大な企業なのかどうかが、今後問われるだろうと考えています。

「なりすまし事件」が、自分の会社で起こったら

投稿日時: 投稿者:

先月、マルウェアやフィッシングを悪用した遠隔操作によって脅迫文などがなりすましで送りつけられ、複数の無関係の人が誤認逮捕される事件がありました。

その後の分析や犯行声明などから、マルウェアやフィッシングのリンクは犯人が自作したもので、誤認逮捕された人が自分の PC にダウンロードしたり、悪意のあるリンクをクリックするなどしたことにより、犯人による操作が可能になったことがわかっています。

今回の事件は不特定の個人を狙ったもののようでしたが、この手口は企業に対して行われる可能性も十分にあるケースで、大きな脅威です。企業の方々は、決して他人事と思ってはならないと思います。

どの辺が「大きな脅威」だというのでしょうか。簡単におさらいしておきましょう。

まず、自作のマルウェアというのは、ウイルス対策ソフトなどで検知するのがかなり困難です。特に今回のもののように、既存のソフトウェアの脆弱性を突いたものでない場合は、網にかけるきっかけがないために検知の難易度が格段に上がります。

また企業が狙われた場合、今回の事件のような自己顕示目的よりも、情報の盗用や金銭目的であることが多く、被害側がいつまでも気づかずに発覚しない恐れもあります。

仮に発見できたとしても、犯人を特定することはまた困難であるのが、残念ながら現状です。

今回の事件でもそうですし、話題になっている中国のハッカーやアノニマスが不正アクセスや改ざん行為を繰り返しているにもかかわらずなかなか逮捕されないのも、その証左です。なぜ難しいかといえば、犯人は自分の端末から直接ターゲットを狙うことはしないために足がつきにくいことや、犯人がアクセスの痕跡を巧みに消すことなどが原因です。

このような状況の中で、企業にとって重要になるプロアクティブな対策がいくつかあると思います。

まず、「出口を監視する」対策です。つまり、企業の内部から出ていくトラフィックを監視して、普段使っている状況ではあり得ない異常を見つけるのです。

こうした対策を行うツールやソリューションがすでに販売されてはいます。ただし重要なのは、それらを導入することよりも、「ユーザー企業が常に監視を続ける」ということです。

異常というものは、正常な状態とはどういうものかがわかっていて初めて、理解できます。普段監視をしていない企業には、正常がどういうものかわかりません。だからそういう企業に、異常は発見できないのです。

監視など素人には難しいのではないかと思うかもしれませんが、普段と違うかどうか判定することは、どちらかというと経験の問題です。スキルはそれなりに必要ではありますが、この場合はすこし勉強すればすぐ克服できる程度のレベルだと思います。

もうひとつ重要な対策は、「証拠の保全ができるようにしておく」ことです。

ただでさえ犯人は痕跡を消そうとしますから、証拠になるものはあまり残されていないのが常です。さらに不都合なことに、実は、証拠になるような情報はすぐに消えてしまいやすい傾向にあるのです。例えば、再起動したり、電源のオフをしてしまったり、ウイルスのスキャンを実行したりすると、消えてしまうような証拠情報もあるのです。

その意味で証拠保全は、あらかじめ一定の手順なり方法なりを確立しておかないと、有事にミスを犯して消してしまう可能性が高くなります。

こうした取り組み、どれも以前から言われていることで、すぐに思いつくような話なのですが、きちんと実践できている企業は本当に少ないです。

これはまさに、マネジメントの話だと感じずにはいられません。

運用作業全般に言えることなのですが、こうした取り組みには目に見える成果が普段から現れるわけではなく、何も起こらなければ目立たない特徴があります。その分、マネジメントサイドが気に留めない、評価しない傾向があるのが問題ではないでしょうか。

こうした取り組みの重要性に気づいている担当者が社内にいたとしても、マネジメントが気にしないために「正式な、やるべき仕事」として取り扱われない環境が生まれている場合もあります。わたし個人も経験がありますが、担当レベルで一生懸命頑張っていてもマネジメントレベルが聞き流すような「仕事」は、結果として良い取り組みになりません。

情報セキュリティ対策について、わたしは常々「トップマネジメントの見識の高さが出る」と考えています。こうした社会的事件を他山の石と捉えて、意識を新たにするきっかけにしていただきたいと、こんな話が発生するたびに願う次第です。