前回、情報セキュリティ監査の無用性について二回にわけて書いてみたが、いろいろな資料を読めば読むほど情報セキュリティの世界が、良く言えばかなり高度な思考能力を要求する世界であり、悪く言えば非常にいかがわしい世界であることがわかる。今回は情報セキュリティについての資料の中にあるたった一つのグラフに注目するだけでも、企業の社内情報システム部門の人々がどれだけ情報セキュリティについてだまされる脅威にさらされているかということについて書いてみたい。「脅威」などという言葉をつかうとまるでこのこと自体が一種のセキュリティ問題のように聞こえるが、実はまさにそのとおりなのだ。社内情報システム部門で働く人たちは、自分の会社が情報セキュリティの被害をうけて会社の資金をムダにすることを心配するよりも先に、自分がだまされて実施する必要もない情報セキュリティ監査を実施したり、セキュリティ対策製品を導入したりすることで、会社の資金をムダにすることをまず心配すべきなのだ。
その情報セキュリティ関係の資料というのは、おそらくIT業界で上級システムエンジニアとして働く人なら誰でも知っているであろう外資系監査法人の関連会社で、情報セキュリティに関するコンサルティングサービスを提供している企業が作成したものだ。全部で30ページもない英語の資料だが、オールカラーで美しい装丁のパンフレットになっており、最初の数ページは経営者向けのいわゆるExecutive Summaryとして、情報セキュリティの重要性を技術的な言葉をつかわずに説明してある。
問題のグラフはその経営者向けの導入部分にあった。それはレーダーチャートというあのクモの巣のようなグラフで、放射状に広がる軸と複数の同心円で描かれた目盛り線の上に、ゆがんだカエデの葉っぱの輪郭だけをのこしたようなグラフが2つ重ねて描かれていた。グラフのもとになっているのは企業の経営者層におこなったと思われるアンケートの結果で、2つの質問の回答結果が百分率でグラフ化されている。最初の質問は、以下の項目のうち、一昨年と比較して情報セキュリティ上の危険性が増加したと思われるのはどれですかという内容で、項目としては「機器の故障によるシステム停止」や「テロリズム」などがあがっている。二番目の質問は、それらの同じ項目について、昨年じっさいに被害が発生したものはどれですか、という内容だ。そして回答者全員のうち、Yesと回答した人の割合を百分率でグラフ上に描画してある。
この2つの質問の回答結果をレーダーチャートに重ねることでこのパンフレットが企業の経営層に何を訴えたいかは明確だ。たとえばチャートの中の一つの軸になっている「機器の故障によるシステム停止」を見ると、最初の質問にYesと答えた回答者の率よりも、二番目の質問にYesと答えた回答者の率の方が高い。「テロリズム」の軸ではその逆になっている。パンフレットの作成者がここから読み取られることを期待しているメッセージは、「機器の故障によるシステム停止は、経営陣に軽視されているわりに、現実に起こる頻度は高い。テロリズムは重視されているわりに、現実にはほとんど起こっていない。だからテロリズムのようなめったに起こらない脅威に注意をうばわれず、情報セキュリティという現実の脅威にもっと目を向けるべきなのです!」というものだ。このメッセージはたしかに、情報セキュリティ監査のようなサービスを企業の経営陣に売り込むためには有効だろう。
しかし、おそらく読者のみなさんはここまで読み進めて、このパンフレットである種の情報操作がおこなわれていることにすでに気づいていると思う。アンケートの最初の質問と二番目の質問は、ひとつのグラフ上に重ねて比較できるようなものではないのだ。最初の質問は、以前と比較して何かが増加したかどうかをたずねているのに、二番目の質問は、単に何かが起こったかどうかをたずねている。二つの質問を比較可能にするためには、二番目の質問をおそらく次のように修正しなければならないだろう。つまり「一昨年と比較して、昨年じっさいに発生した被害は増えましたか」という内容に修正する必要があるのだ。
もともとパンフレットにあった二つの質問と、こうして修正した後の二つの質問を比較すると、この情報操作がかなり「悪質」であることがわかる。まず機器の故障によるシステム停止という項目について考えてみよう。ひとつの企業の中に無数にあるすべての情報機器のうち、ある一年の間にシステム停止につながるような故障をおこしてしまう機器の割合は、おそらくどの一年間をとってもあまり変わらないだろうということは容易に想像できる。というのは、企業内にある無数の情報機器は、毎年、部分的に買い替えられるので、初期不良で故障しやすい新しい機器、初期不良を出し切っていて故障しにくい機器、かなり古くなっていて物理的な故障を起こしやすい機器それぞれの割合が、それほど大きく変動することはない。したがってそれらの機器すべてをまとめて考えると、毎年の故障発生率はそれほど変動しないはずだ。
毎年それほど状況が変化しない安定した事柄について、企業の経営層が高い関心をもつとは考えられない。したがって機器の故障によるシステム停止について、最初の質問にYesと答えた経営層、つまり、機器の故障の危険性が増加していると答えた経営層が少ないのは当然である。一方、機器の故障でシステムが停止するということはままあることなので、もともとパンフレットにあった二番目の質問にYesと答えた経営層の割合が高いのも当然である。しかし、二番目の質問をさきほど書いたように修正すれば、こちらの質問についてもYesと答える割合が低くなる。するとグラフを重ね合わせたときに、修正後の二つの質問ではともに割合が低くなり、二つのグラフの差はほとんどなくなるだろう。
もうひとつの項目である、テロリズムについて考えてみよう。このアンケートはパンフレットの作成された日付から想像すると、世界貿易センタービルのテロがあったその年か翌年くらいに実施されている。テロリズムは機器の故障でシステムが停止することに比べると、はるかに発生する確率は少ない。しかし一方では、9.11をきっかけに、さまざまなグローバル企業が世界中のどこかの拠点でじっさいにテロの被害を受けるようになり、発生率は9.11以前と比較すると発生する確率は大きくなっており、数年すればまた下がるだろう。発生率が安定している機器の故障とはずいぶん状況が違う。
これだけ状況が変わっている事柄について、企業の経営層が非常に高い関心をもつのは当然であり、最初の質問にYesと答えた経営層、つまり、テロの危険性が増加していると答えた経営層が多いのは当然である。一方、じっさいにテロの被害を経験した経営層の割合が低いのは、テロそのものが発生する確率の低さからして当然だ。しかし修正後の質問を採用すれば、以前に比べてじっさいにテロによる被害が増えたと答える経営層の割合は高くなるだろう。するとグラフを重ね合わせたとき、修正後の二つの質問ではともに割合が高くなり、やはり差はほとんどなくなる。
このように、もともとのアンケートの二つの質問を比較可能な質問の組に修正すると、結果として描かれるレーダーチャートはほとんど同じ形になる。修正前のグラフなら企業の経営層に対して「あなたたちのセキュリティについての認識は現実とズレていますよ」というメッセージを伝えることに成功するかもしれないが、修正後のグラフは正反対のメッセージを伝えてしまう。たとえばそのメッセージとは「情報セキュリティはみなさんが思っているようにそれほど注目すべきことではありません。他の定常業務と同じようにベストプラクティスにならって粛々と改善を積み重ねていけば大丈夫です」というものだ。しかしこういうメッセージでは情報セキュリティ監査をする必要がまったくなくなってしまう。
ここにこのパンフレットが意図的に比較不可能な二つの質問の組を選択した理由がある。自分たちの意図するメッセージを伝えたいがために、わざと正しくない質問の組み合わせを選択してグラフを作成しているのだ。しかしこのパンフレットを読まされるビジネスパーソンは、それほどかんたんにこの情報操作を見抜くことができない。じっさい僕はこのパンフレットを会社の同僚といっしょに見ていたのだが、彼はこの操作に気づかず、パンフレットの作成者の意図どおりに「だまされて」いた。
このようなパンフレットの事例ひとつとってみるだけで、情報セキュリティの世界が相当いかがわしいものであることがお分かりいただけるだろう。ただ、だまされないための方法論は極めてシンプルである。まず疑うことだ。このホームページの基本的な考え方である、デカルトの方法的懐疑と同じように、なるほどと納得してしまう前に、自分の認識がほんとうに正しいのかどうかをまず疑ってみることである。
ちなみに補足として上述のアンケートについて、きわめて誤解を生みやすい点をもう一つ書いておく。たとえばこのアンケートが100社を対象にしているとして、そのうち30社が、昨年じっさいに機器の故障によるシステム停止にみまわれたと回答しているとしよう。そのことが、このアンケートを読んでいる社員のいる企業に何か関係があるのだろうか。関係があるとすればそれはどんな関係だろうか。これは機器の故障によるシステム停止の確率が30%であることを示すアンケート結果だろうか。
実際には100社のうち30社がYesと回答したからといって、すべての企業にとっての機器の故障によるシステム停止の確率が30%であるということには全然ならない。まずアンケート対象となる企業の選択が恣意的である。それは、この同じグラフの上で、昨年じっさいにテロの被害をうけたと回答した企業の割合がゼロでないことを見ればすぐにわかる。このアンケートには世界貿易センタービルに拠点を持っていた企業がかなりの数含まれているはずだ。同じアンケートを日本企業だけに対して行えば、この質問にYesと答える企業は限りなくゼロに近くなるだろう。また、日本企業に対しては地震についての質問を入れておくべきだろう。このように二番目の質問に対する回答結果の百分率は、これを読む人が属する企業にとってはほとんど何の意味も持たない数字である。しかしこのグラフを見た一般的なビジネスパーソンの少なからぬ人たちが、機器の故障によるシステム停止の確率は50%もないんだと理解するだろう。このような誤解を避けるためにも、上述のように二番目の質問を修正するのが望ましいのである。