100%安全をつくるための4つのポイント
先日発生した暗号資産の不正流出事案を踏まえて、安全管理のポイントを整理します。私は、暗号資産交換業者に対するウォレット管理等のコンサルティングを行っています。
ビジネスを行う事業者は、重要インシデントが発生しないように安全管理を行う必要がありますが、多くの場合は100%安全な状態とすることは不可能です。そのため、重大インシデントが発生する確率を限りなくゼロに近づける作業を行うことが求められます。
例えば、顧客の暗号資産を預かる暗号資産交換業者はウォレットの安全管理に対する活動を続けています。これは、ホットウォレットからコールドウォレットに置き換えるという単一的なことではなく、何重もの防御策を組み合わせ、発生確率を抑えたり、発生したあとの損失を最小限に抑えたりしています。
このような考え方を、スイスチーズモデルといい、1つ1つの施策に小さな穴があったとしても、構造的な多層防御壁により重大なインシデントを発生させず安全性を確保するというもので、原発、航空、医療、ITセキュリティ等の様々な分野で用いられています。
会社は、どのように多層防御壁を構築または高度化するかについて、重要なポイントを4つに絞って説明します。
ポイント1:穴を小さくする
穴を小さくする=防御壁をすり抜ける余地を小さくするために、設計上の考慮漏れや、事務ミスやシステムエラーが生じないための点検等を行います。
設計上の考慮漏れについては、例外プロセスの存在や俗人的でブラックボックスになっている部分に留意することが重要です。
また、事務ミスやシステムエラーについては、通常運用に加えて、新規ビジネスやサービスの開始や、外部環境の変化、内部管理体制(組織、オペレーション、システム)の変化等の、何らかの変化のタイミングで脆弱性が混在しやすくなることに留意することが重要です。
ポイント2:壁を増やす
壁を増やす=防御壁を増やして、1つ1つの壁をすり抜けたとしても、発生を回避したり、発生したあとの損失を最小限に抑えたりするための追加の施策を企画・導入します。
一般的にビジネスの成長、多様化に伴いリスクは増加しますので、その分の安全にかかる投資が必要です。リソースも限りがあるので、効率的かつ実効的な施策を講じる必要があります。
ポイント3:経路を探る
経路を探る=リスクシナリオの洗い出しとその評価、対策の優先順位付けを定期的に実施することにより、多層防御壁の構造を俯瞰して把握して適切な投資を行います。
リスクシナリオについては、金融庁、自主規制団体、外部コンサルが公表・配布する資料等を参照したトップダウンの視点と、現場の知見を汲み上げたボトムアップの視点とを組み合わせることが重要です。
ポイント4:観察する
観察する=1つ1つの防御壁が実際に機能しているかを確認します。ニアミスや軽微なインシデントだったとしても、不測の自体が重なることで多重防御壁をすり抜けられることが想定されるため、そのような情報を収集してモニタリングし、改善に繋げることが重要です。