特別講義 拾陸：サイバーインシデントを招く弱点と処方箋

みずほ銀行の8回ものサイバーインシデント、Facebook、Amazon、つい最近ではdocomoでもインシデントが発生した。1年前は東京証券取引所、大きいものだと7payも懐かしい。
我々は昔に比べてどんどん身の回りをシステムで固め、より物質的に豊かな生活ができるようになった。しかし、その道具(システム)をうまく使いこなしきれないことによって様々な問題(インシデント)が発生している。

◆みずほ銀行

みずほ銀行で「8度目」のシステム障害、外為取引に遅れ

◆facebook

Facebookの5,000万人分の情報流出について、いま知っておくべきこと

Facebook、大規模障害の原因など詳細報告--「日常的なメンテナンス作業中」に発生（ZDNet Japan） - Yahoo!ニュース

◆Amazon

Amazon系ゲーム実況Twitchで情報漏洩　ソースコードも（写真=ロイター）

◆docomo

ドコモの通信障害はなぜ長期化したのか？　障害の告知方法やMVNOの扱いには課題も（ITmedia Mobile） - Yahoo!ニュース

こうしておけばよかったのにという後講釈はいくらでもできるが、システムの全体像がぼんやりとしてきていることで発生している問題であり、勘所が抑えられていないことが実際としての問題だろう。

そういう問題が発生しているからやみくもに対応してもしょうがない。構造的な弱点とトレンドとしての弱点を見抜いたうえで対応することが必要だ。予防の観点から述べていくので零れ落ちるものもある。例えば、内部犯行や作業の不注意などだ。(間接的には影響を与えられるが…)
もちろん、弱点を紹介するだけでなく、処方箋も紹介していくぞ。

今回の内容としては以下の通りだ。

日本企業あるあるな弱点
今後のシステム構築における弱点

それはではいこう！

日本企業あるあるな弱点

「日本ガー」ととりあえず否定したいから「欧米”では”」と頭ごなしに伝える「”出羽”守」的に言いたいわけではない。(そもそもこういうことをいう人は欧米とくくってる時点で論外、アメリカ、イギリス、ルーマニア、ギリシャが同じ国か？　ちげーだろ)
毎度のごとく、データ、実績をもとに弱点を紹介していく。

弱点その1：そもそも投資額が少ない

インシデントを防ぐには、そもそも投資額が必要だ。なぜなら、インシデントを防ぐには、システム自体がインシデントへの対応ができていないとまずいし、システムの監視者も必要となりそれにはお金がいる。しかし、この辺りはどうしても削られてしまいがちであることから、ある程度のリッチさは求められる。

日米の投資額割合の比較をしてみよう。
金額ベースだと、そもそも国の経済規模の違いなどでわかりづらくなるため、あくまで民間企業が設備投資をする際にどの程度がIT投資に向いているかを比較する。
日本は15%を推移、一方アメリカは40%、しかも急速に伸びている。
これは歴然たる差と言えてしまう。正直データのミスであってほしい…
民間の設備投資額は各社の合計であると考えれば、アメリカではIT企業がかなりの数となっていると仮定すれば、IT企業が多いから額も多く出るよね…という言い訳も思いつくが、にしたって酷い差だ。

https://www.soumu.go.jp/johotsusintokei/linkdata/r02_01.pdf

処方箋：
アメリカ並みにまで成長すべきとは言わないが、まずはこの事実自体を経営者へ知ってもらうことは重要だろう。
また、システム投資を旺盛にしていく流れを作る必要がある。例えば、費用対効果のあるシステムの導入や流行に乗ってシステム化を行うことなどがあげられる。
費用対効果のあるシステムって…と困ってしまうが、そこは自分でITについて学ぶ＆外注(コンサルを入れる)などで対応していきたい。コンサルを入れるだけでもいいのだが、その場合、好きなようにやられてしまう可能性があるので、自分で知識を持っておいた方が安心だ。

弱点その2：経営層がそもそもシステムへの理解に乏しい方が多い