アップルの情報管理統制に学ぶ、抑止効果は神の存在に似ていた

完全防止が無理ならば、最大の抑止効果がはたらく「見えない相手」を作る方法が最も効果的と考えています。これは神の存在にも似ています。

http://www.itmedia.co.jp/news/articles/0912/22/news054.html
せかにゅ:Appleに情報のリーク元を突き止める「秘密部隊」——元社員語る – ITmedia Newsviakwout

元Apple社員の話によると、同社には情報リークを調査する秘密チーム「Worldwide Loyalty Team」があるという。一部の社員が「Appleゲシュタポ」と呼ぶこのチームは、ジョブズCEOとオッペンハイマーCFOの直属で、そのメンバーはあらゆる部署に潜んでいる。ひとたび情報リークの疑いが浮上すると、「特殊部隊」(と社員は呼んでいる)が突然オフィスにやってきて、携帯電話を押収して中のデータを調べる。調査の間、社員同士あるいは外部との会話、チャット、電話は禁じられる。「彼らが探していたものを見つけたら——たいていは見つかる ——リークした社員はその日は最後まで席にいるように言われ、その後でオフィスを去るように言われ、警備員に付き添われて出て行く」と元社員は語る。秘密チームは社員の電子メール履歴も監視しており、リークしそうな人を捕まえるために偽の画像をばらまくこともあるという。

以前に書いた、アップルの情報管理統制に学ぶ、情報セキュリティの本質の時は、黒いマント赤い警告ランプでした。

何を信じていても、信じていなくとも、どうにもならない状況になれば、誰しも手をあわせて祈るものです。まもなく迎える新しい年になれば初詣に行きます。神社だと手をたたきますが、神様は見えません。お寺の場合は、お祀りしている観音様などに手をあわせます。この場合、そこでは見えますが、普段の生活の中にも、常に「お天道さんが見ている」のように言われてきました。多神教であり、無宗教でもあると言われる日本でも、この見えない存在を誰しもが思っています。

新製品を世界同時発売とかするのに、それまでほとんどの情報が憶測でしかない。発表のための準備や、Web製作、製品のデリバリー等々、どこかで洩れてもおかしくないのにと。。。思うのです。

防止で出来ることは、もちろんしたほうがいいです。一方で防止の限界も知らなくては、と考えます。

狙われた「製品情報」を守りきることは、簡単ではありません。介在する人の数にもよりますが…知る必要のない人には教えない。簡単なことですが、出来てないケースが多くあります。

敵を欺くにはまず味方から」と同じく、偽物を流すことで、そこから洩れていれば発見も簡単になります。単なる解雇だけならば、もっと多くの人がすると思うのですが、余程なペナルティもあるのでしょう。今年発生した国内の情報漏洩事件には、そこまでの抑止が働いていなかったと思うのです。まぁ、どこまでの範囲で行うかもありますので…

この「見えない相手」がいることを知っていて、その後どうなってしまうかも知っている。これは別に漏らさなければ、何も心配することはありません。漏らしてしまう悪意な人に向けた、企業姿勢でもあるからです。

「見えない相手」であり、「何をしてくるかわからない」から、悪意な人にとっては、厄介なことだし、戦意も失っていくのです。よくわからない状態こそが、最大の抑止効果が発揮できると考えています。だってイヤでしょう(笑)

徹底したここまでの管理が必要かどうかは、場合によると思っています。コストに対するパフォーマンスが上回らなければ意味がないこともありますし、度外視する場合もあるからです。

私が行き着いたセキュリティが、やはり抑止だったと確認した今日この頃でした。

関連カテゴリー

抑止で防止はできませんが、防止よりは「心理的」に影響する抑止セキュリティ思考

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

現状の情報セキュリティ教育研修をそのまま続けて大丈夫ですか?

ほとんどの企業において、情報セキュリティ教育のコンテンツは一巡しています。新たに知るべく脅威などもありますが、ほぼ新しいコンテンツはありません。

技術者の方々は、常に最新の動向を知る必要があります。しかし、一般社員の方々が知るべくことは技術者の方々とは内容が違います。

一般社員の方々に向けた「情報セキュリティ」に必要なことは、ほぼ伝えきられたと考えます。
現在行われているのは、二巡、三巡の繰り返しです。同じことを反復練習していても情報漏洩事故は減少していません。