山本　慎一郎

IPAが情報セキュリティに関するガイドラインでパブリックコメントを募集していたので、資料を読んで意見を送りました。

と、記事の内容に入る前に、ちょっとだけ１ヶ月ぶりの記事になってしまった言い訳を……。
実は、いくつか記事は用意してありました。
この記事も、ちゃんと１ヶ月前に用意してありました。

が、ちょっと仕事が立て込んでしまい、所定の時刻までにアップロードするのを忘れていました。
具体的には、日曜日の１８時前ぐらいに公開するルールにしてたんですが、仕事に集中していて気づいたらとっくに１８時を回っていました。
（個人的な事情で、平日に休みをとって日曜日は仕事の日にしてあります）

で、それが１ヶ月ほど続いた結果が、現在の状況となります。
こうなるぐらいなら、いっそ日時のルールはなくしたほうがいいかもしれませんね。

というわけで、記事の時間軸としては、まだ２月初旬のお話になります。
今のところ、時系列に影響を与える出来事はなさそうですが、その点ご注意いただければと思います。

さて、記事の内容に戻りますが、パブリックコメントに意見を送ったのは、生まれて初めてです。
何か「作法」的なものもあるのかもしれませんが、全く知らないので普通に意見を整理してメール本文に書き連ねました。
感覚的には、仕様書のレビューをしているような気分でした。

対象のガイドライン自体は、経営層向けのものなので、技術的なお話は多くありません。
ですが、情報セキュリティを確保するためには、その必要性や喫緊性を経営層に理解してもらうことがとても重要です。

昨年から状況を追っていた「ランサムウェア攻撃」の被害にあった病院もそうですが、現にすぐそばでサイバー攻撃の被害が出ています。
『うちはそんな有名な会社じゃないから』とか言ってる会社が一番狙われるんです。
件の「ランサムウェア攻撃」も、侵入口は病院ではなく業務委託先の給食提供会社です。
そこからVPN（Virtual Private Network）を通じて侵入されてます。

『いやあ、うちはVPNとかっての使ってないから』
本当に？　テレワークとかしてませんか？
テレワーク始めるために、業者に委託したりしてません？
その業者とは保守契約とか結んでます？
定期的に点検に来てもらったりしてます？

そういった「脆弱性」が紛れ込みやすいところを知ってもらうだけでも、情報セキュリティの確保では雲泥の差が出ます。
そういう意味で、今回意見を送ったガイドラインは、とても有効に活用できるものだと思います。

もっとも、どれだけの企業が、このガイドラインを利用するかは分かりません。
なぜかというと、国のガイドラインによくある問題で、とにかく文量が多すぎる。

今回のは、ガイドラインにしては比較的少ない方だと思いましたが、それでも改訂部分を読むだけで相当疲れました。
これ、ホントに世の経営層の人々に読んでもらえるのでしょうか。
原材料の高騰などで経営状況が苦しいのに、情報セキュリティまで意識してもらえるのでしょうか。

ただ、本来は「身の安全」と同じように、一番根底にあるべきなんですけどね、「情報セキュリティ」って。
DXを推進する前に、まずは足元の「情報セキュリティ」を固める。
この考え方を広めていきたいなぁ、と思っています。

さて、今週の文字数は……約１１００文字！？（言い訳除く）
なんて短さだ！　あり得ない！

それでは、生まれて初めてのパブリックコメントを送った、山本慎一郎でした。