たまには本も読んでみる。

　セキュリティインシデントの話題や、昨年の図書館総合展で何度か耳にしたBCP（事業継続計画）について、ちょっと勉強したく思っていたところに見つけた本。自分には難しすぎるところもあったが、メモや感想など。

• 序章「セキュリティ経営」

　「3　情報セキュリティのレイヤ構造」の考え方が興味深かった。情報セキュリティというと、自分が思いつくのは「システムダウンしない」「情報漏洩しない」といった話。この本では前者にあたる「コンピュータとネットワーク・システムを守る」をレイヤ1、後者にあたる「情報資産のCIAを守る」をレイヤ2として、さらにその上にレイヤ3-4を想定する。レイヤ3は「A:企業が提供するサービスの品質情報を守る」、「B:企業の信用・信頼に直結する情報を守る」の2つに分かれる。レイヤ3Bにはたとえば風評も含まれる。レイヤ4は企業自体のセキュリティの話になるが、この本ではあまり論じていない。
　たとえばLibrahack事件をこの視点から考えてみたらどうなるだろう、とこれはxiao-2の妄想。レイヤ1が脅かされたと思って取った対応があまり適切でなく、かつ別途レイヤ2の問題も判明して、両方の要因で批判されることになった結果、レイヤ3に影響する問題になってしまった、ということになるんだろうか。

• 第一章「セキュリティ事件・事故の現実」

　セキュリティインシデント事例の紹介。紹介事例は以前研究例会での講演*1や、その時予習した本*2に挙がっていたことと共通。国際調査の結果によると、日本人は客観的指標の安全度の割には情報通信について「不安」を感じる割合が高いのだそうだ*3。これも研究例会で聞いたような気がする。

• 第二章「企業経営のICT依存と全社的情報管理」

　序章で出てきた情報のレイヤ構造の話を再度引きつつ、情報管理について整理。クラウド化によって「レイヤ1のセキュリティは比重が軽くなるが同時にコントロールしにくくなる(p56)」、これによってレイヤ2「情報資産の保全」が情報セキュリティの中心になるという指摘に、おおっと思う。クラウドの話は後の章でも出てきた。
　情報の保護の仕組みは、事前に権利を付与する方式の「知的財産型」、事後救済方式の「秘密型」に分かれている。それぞれに制限や発展途上の部分もあり、権利や罰の要件と、世間での理解のズレもあって、なかなかカバーしきれていないという指摘。

• 第三章「企業と情報セキュリティのガバナンス」

　情報セキュリティガバナンス*4について。概念としてあまり整理されているとは言えない、という指摘から始まり、日本的経営や人本主義など、企業としてのガバナンスの話。

• 第四章「グローバル化と情報セキュリティ」

　情報セキュリティ管理に各国の文化の違いが影響してくるということの調査結果。読む分には面白かったが、今回この本を買った動機からするとあんまり関係なかった。元データは英語の論文*5。

• 第五章「クラウドとBCP（事業継続計画）」

　震災での企業の被害状況とBCPの状況。BCPとは「地震などの自然災害、火災やシステム障害、感染症、テロや原発事故が発生したときに、「事業継続」を図るための行動計画が、BCP（Business Continuity Plan：事業継続計画）(p142)」ということだそうだ。これが日本で話題にされるようになったのは2000年代以降のことで、経済産業省から運用指針も出ている*6。
　クラウドについては一般的な説明に加えて、企業の意識調査も概観されている。調査結果を見る限り、みんな関心はあるけれどなんとなく胡散臭い感じも持っている、という印象。法的側面などの記述が興味深かった。
　xiao-2の理解。BCPというのはいわゆる防災対策と違って、「事業を続けるにはどうしたらいいか」という観点の計画であるらしい。材料が手に入っても流通網が壊れていたらどうするか、自社に被害がなくても前工程の生産企業が被災して営業できない状況だったらどうするか。特に後者の観点、図書館業界だと結構やばい気がする。そのうちじっくり考えよう。

• 第六章「プロセスの標準化と経営判断の原則」

　第二章で触れられたように情報資産自体を守ることは難しいので、情報資産の扱いなどに第三者評価を取り入れることで信頼性を担保しよう、ということでプロセスの標準化の話。この章は、自分にはあまりピンとこなかった。

• 第七章「不確定性の時代と責任」

　事前に正確に予想することが難しい「不確定性」、特にインターネット絡みの事件において「責任者」を決めることの難しさと、その一方での過剰な責任追及の風潮。個人でなく社会的存在としての企業に責任を取らせる仕組みを提唱している。
　その具体例として挙げられているのが「コミットメント責任」。これは

事業者が、情報管理の取り扱いに関する約束事を消費者に対して表示し、または社会に対して宣言したにもかかわらず、それに違反することによって生じる責任(p223、ただしこの部分自体が2008年の論文よりの引用）

　というものだそうだ。

• 終章「平時の四原則と非常時の四原則」

　終章ではいくつかの提言があり、4つの対応が挙げられている。「非常時計画」「現場に近い対応」「決定権の明確化」「発動と早期復元」。特に最後の「発動と早期復元」が興味深い指摘だった。

非常時の対応措置は、その発動要件はもとより、解除条件も明確に定め、早期に平時に復元できるよう努めなければならない。非常時の権限の集中などは一時的な措置であり、一定期間内に正規化することで、恒常化しないよう配慮する必要があるからである。(p258)

　確かに。非常事態宣言は、出し方だけでなく、取り下げ方も考えておかなくてはいけない。

　慣れない分野の本を読んだら、肩が凝った。ぐきぐき。