ページを選択

サイバー衛生と情報衛生、そしてそれらの管理

情報セキュリティという話題では、多くの場合、「壁を高くする」「入口を絞る」「危険なものを入れない」という方向に向かいます。

もちろん、それらは必要な対策です。
ですが、「壁の外」を完全に制御することはできません。
外部からの脅威、誤った情報、意図しない操作、判断や表記の揺らぎはどれだけ環境を整えても完全には防ぐことができません。

情報環境において重要なのは、混入を完全に防ぐことだけではなく、混入や揺らぎが起こり得ることを前提に、それでも環境が機能し続ける状態を維持することです。

ここで必要になるのが、「衛生」という考え方です。
衛生とは、単に綺麗な状態を保つことではありません。
環境が機能するための前提と制約を整え、その状態を扱い続けることです。
サイバー衛生と情報衛生は、この構造を異なる層で担うものだと考えています。

サイバー衛生は、資源に対する前提と制約を整える領域です。
OSやソフトウェアを更新すること、認証を強化すること、権限を整理すること、不要なアカウントを棚卸しすること。
これらは単なる保守作業ではありません。
環境が成立可能な状態へ収束するように、資源に対して制約を与える行為です。
自由度を上げるためではなく、壊れにくくするための制約を配置します。
何でもできる状態ではなく、成立する条件を明確にしておくことで環境の安定性を向上させます。
サイバー衛生は、そのための前提を整えるものです。

しかし、その前提が整っているだけでは環境は自動的には機能しません。
実際の業務では、その環境の中で情報が流れ、人が判断し、責任を負い、次の行動にと繋がっていきます。
どれほど設備が整っていても、扱われる情報が古く、曖昧で、出自が不明確で、判断の根拠として機能する状態でなければ環境全体は不安定になります。
ここに情報衛生の領域があります。

情報衛生は、セキュリティ意識やリテラシーだけの話ではありません。
偽メールを見抜くことも、不要な情報を滞留させないことも、管理外のツールに機密情報を入力しないことも、その一部にすぎません。

本質は、情報と判断が機能するための条件を扱い続けることにあります。
必要な情報が必要な場所にあり、不要な情報が適切に隔離され、判断に使う情報の前提が明確であり、その判断に対する責任の所在が曖昧になっていないこと。
これらが整って初めて、情報は単なるデータではなく、実務の中で機能するものになります。
サイバー衛生が資源側の前提と制約を整えるものだとすれば、情報衛生は、その上で流通する情報と判断に対して前提と制約を整えるものです。
どちらか一方では成立しません。

サイバー衛生が欠けていれば、情報を扱う器そのものが不安定になります。
情報衛生が欠けていれば、器が整っていても、その中で起こる判断や行動が不安定になります。

重要なのは、機能を「資源があれば自然に生まれる結果」として見ないことです。
機能は、条件が揃ったときに発生するものです。利用可能な資源に対して、妥当で適正な前提と制約が織り込まれ、その上で情報と判断が適切に作用することで、初めて実務としての機能が発生します。

これは、特定の条件のもとで必要な反応が生じる構造にも近いものです。
すべてに一律に作用するのではなく、条件が揃ったところで必要な機能が立ち上がる。
衛生管理は、その条件を整え、崩れないように扱い続けるために必要な構造です。

そのため、サイバー衛生や情報衛生は、特定のツールを導入すれば完了するものではありません。
ツールは必要で、仕組みも必要です。外部の支援も必要になるかもしれません。

しかし、それらは成立条件そのものではありません。

・どの資源を使える状態にするのか
・どこに制約を置くのか
・どの情報を判断に使うのか
・どこから先を人間の責任として扱うのか
・何を許容し、何を無害化し、何を隔離するのか
・どこに境界を置き、どう越境させるのか

これらは環境ごとに異なります。
だからこそ、衛生は継続的に、見直しや再編を織り込んだ状態で取り組まなければなりません。

IT、情報処理を取り巻く環境は、効率や利便性の競争という指標だけでは測れない段階に入っています。
技術的な制約が相対的に小さくなる一方で、人間の権利や責任、判断の妥当性や根拠の鮮度や品質が主要な制約として表面化しています。

技術が成熟し、機能が標準化されるほど差分の把握が難しくなります。
前提が曖昧であれば、機能は不安定になります。
制約が不足すれば、構造は維持できません。
制約が過剰であれば、環境は動かなくなります。
この調整を意識し、定めた観測点での検査と検証を続けることがこれからの情報処理における衛生管理です。

ここで言う「衛生」とは、綺麗に保つことではありません。
機能が発生し続ける状態を維持するために、前提と制約を扱い続けることです。
サイバー衛生は、そのための資源側の条件を整えるものです。
情報衛生は、その上で流通する情報と判断の条件を整えるものです。
この二つを分けて考え、同時に成立するように調整することが、デジタル環境を現実の中で機能させ続けるために必要なことだと考えています。

事業、生活のあらゆるところで情報処理は高度化を続けて、活用のハードルは下がってはいます。
操作コストに対して、その操作による結果が及ぼす影響の範囲は拡大の一方です。

指差呼称やゲート管理、ゾーニング、ルート管理、サンプリングなど、参考になる前提と制約の置き方はあらゆる業界や生活の中にございます。
ぜひ情報セキュリティの分野でも同様に取り扱っていただければと思います。