セキュリティー統治の重要性

NHKのインサイダー取引問題は波紋を広げている。今日asahi.comのニュースでは、NHK会長が辞意を表明した。

更に、コンプライアンス担当の畠山博治理事(61)と報道担当の石村英二郎理事(59)は、22日付で辞任する。また、10人の理事全員が進退を橋本会長に一任、2人については橋本会長の責任で辞表を受理したとの事である。

今回の問題が起こった理由について、NHK出身のアルファーブロガーである池田信夫blogがNHK電子化の落とし穴というタイトルで詳しい分析を試みているので要所を抜粋して下記に紹介する。

全体として、20年前の設計をそのまま継承し、おまけに100%電子化したため、汎用化を早めたことが今回の事件につながったと思われる。原稿の分類を もっと細かくし、汎用原稿は放送までは見せないで、作業は担当者だけのニュース原稿でやったほうがいい。アカウント管理も、出稿部とテレビニュースの数十 人が見える「秘」モードと、8000人以上(職員5400人+契約社員2700人)が見えるモードしかないというのもアバウトすぎる。直接の担当者だけが 見えるような、もっと細かい権限設定が必要だ。

この記事をみても、20年前と同じセキュリティ管理でやっているのが根本的な問題だ。かつては「新NCプロジェクト」に各部から出向し、1年以上かかって システム設計をした。プロジェクトのチーフだった川上CPは、コンピュータのエクスパートだったので、当時としては世界的にも先進的なシステムができた が、彼は名古屋放送局長を最後に退職したので、彼ほどシステムを理解している人がいないのだろう。

今度はレガシーシステムを捨て、NHK全体をイントラネットでシステム統合する、全局をあげたプロジェクトをつくるべきだ。職員を査問したり説教したりするより、セキュリティ管理を徹底することが根本的な対策である。

池田氏の記事によれば、インサイダー取引を行った社員側よりも、そういう状況を放置した経営者側に問題があり、インサイダー取引のネタになり得る特ダネ情報は、セキュリティー管理を徹底するべきであり、それはまさに経営者の責任である。池田氏の過去の記事で更に述べているが、現在の経営陣はITの知識にきわめて疎い方々のようである。ならば現経営陣は早急に辞任して頂いた方が良いと思われる。
さて、そこでセキュリティーについて考えてみたい。私は最近、セキュリティー統治という考え方をするようにしています。セキュリティー設計する前に、何を、どう守るか、をトップマネジメントが意思決定します。守るべきものを重要度でクラス分けし、それが存在する場所を限定 し、扱う部署や人間を限定するようにセキュリティー設計します。

こうする事で、以下の事が明確になるので、リスク評価が容易にできるようになります。

  • 守るべき情報と重要度
  • 守るべき場所
  • 誰から守るか
  • 守る方法

それで得られるメリットは以下の通りです。

  • セキュリティー管理に必要なソフトウェアの種類と機能を必要最小限にできる
  • セキュリティー管理に必要なソフトウェアのライセンス数を必要最小限にできる
  • 安全確認手順の導入場所を必要最小限にできる
  • 安全確認の手順数を必要最小限にできる
  • ソフトやハードに依存するかわりに、社内セミナーなどの社員教育へ置き換えられる

上記の結果、セキュリティーレベルを十分に上げても、導入コストが従来の方法よりずっと安価になり、全社的に一律に不便になるという事態を避ける事ができます。

今度はレガシーシステムを捨て、NHK全体をイントラネットでシステム統合する、全局をあげたプロジェクトをつくるべきだ。職員を査問したり説教したりするより、セキュリティ管理を徹底することが根本的な対策である。

Facebook Comments
Tags:
Comments are closed.