マイページ
20~30年間、同じ鍵を使い続ける危険性
次のような実験もやってみた。受付内側のデスクに引き出しがあり、そこに入構証が保管されている。それを夜、受付嬢が帰った後で一つかみ持ち出したのだが、1週間たっても紛失届けは出されなかった。紛失が明らかになるまで、侵入者は盗んだ入構証をつけてセンター内を自由に歩き回ることができたのだ。
そのような杜撰なセンターを象徴するように、外付けの非常階段の鍵はすべて外側からのピッキングで開いた。錠前は年に1度は最新型に変えるべきだが、20~30年ほど前の鍵がそのまま使われていた。
アメリカの専門家は「テロリストや犯罪者に対して最も警戒が必要な錠前は、現時点では日本の美和ロックのこのタイプがベストだ。来年はまた違うかもしれない」と言っていたが、センター側にはそのような知識すらなかった。
組織全体のセキュリティを考える人がいない
Z社のコンピュータセンターの課題の第1は、縦割りの問題だった。
非常口の錠前は守衛室か総務部かの担当だが、担当者は「泥棒が入ってこなければよい」としか考えていない。一方、コンピュータ関係の部署にいるのはネットやコンピュータのセキュリティを担当する社員だが、こちらはコンピュータ画面にだけ気をとられ、非常口の錠前のことなど考えたこともない。要するに、組織全体のセキュリティを考える部署も担当者も存在していなかったのだ。
第2の課題は、どの組織にも共通することだが、部署ごとの隠蔽体質だ。
センターの責任者は、自分がきちんと仕事をしていることを示すために、セキュリティ・チェックそのものに反対し、私たちがチェックしようとすると、「日本の有名な会社に依頼して、既にサイバー面の侵入テストを実施し、合格しているから調査の必要はない」と、抵抗する。巨大電力会社X社のケースとまったく同じだった。
そして、チェックによって穴だらけだと判明すると、今度は「すぐに改善するので、上層部には問題がなかったことにしてほしい」と、問題があったことを隠蔽しようとするのだ。
Z社で誉められ、評価されてよいのは、私にコンサルを依頼した本社の担当部長だけだった。いかに高い意識の持ち主が少ないかという現実は、巨大企業のセキュリティを考えるうえで教訓とされなければならない。
