読者です 読者をやめる 読者になる 読者になる

セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

セキュリティ×安全学

大学で一番面白かった授業の教授は誰かと聞かれれば、科学哲学を専門としている村上陽一郎先生の名前を挙げるのですが、STS科学技術社会論)の授業で取り扱われていた安全学という学際的なアプローチが非常に印象に残っています。

安全学とは?

詳しい説明は、安全学 - Wikipediaに譲ろうと思いますが、安全という問題に対して安全工学的なアプローチのみならず、社会学・心理学など多方面から議論しようという試みだと理解しています。そのため、安全学という新しいメソッドがあるというよりは、既存の学問領域の知見を「安全」という問題に色々適用してみようという学問だと理解しています。特に、安全を気にする分野(インフラ・医療)などでは安全学のアプローチが色々ととられており、4M4E分析、m-SHELモデルなどにより分析が行われています。

セキュリティ×安全学

個人的には、セキュリティのインシデント分析も安全学の観点から整理すれば、なにか新しい分析ができるのではないかと考えています。2015年に標的型攻撃を取り上げて講演をしてみたのですが、分析の枠組みとしては面白いものになったのではないかと思っています。

デモ:内部規則の逸脱に関する分析

例えば、日本年金機構における標的型攻撃では「個人情報の取り扱いについて、内部規則を守っていない社員が悪い」という論調がありました。決してよいことではありませんし、攻撃が成功するきっかけにもなってしまいましたが、ヒューマン・エラー研究や組織社会学からすればやむを得ないという部分も存在します。

例えば、ヒューマン・エラー研究では、以下のようにいわれています。

悪意がない限り、人が逸脱状態(=違反)に及ぶには相当の理由があり、その人の置かれた状況(=Context)に依存する

この観点からすれば、職員が「おかれた状況」と「違反を行った相当の理由」を突き詰めることが必要だとわかります。

また、組織社会学の研究では、「逸脱の標準化」(Normalization of Deviance)という概念があります。

目標を達成するためにある「基準」から逸脱した状態にあっても、とりあえず逸脱行為に問題ないとわかると、そのリスクは「受容可能な範囲のリスクである」として順応し、逸脱状態が標準化する。

 この観点からすると、逸脱が肯定された理由には、逸脱が早い段階で問題として現れなかったという点が挙げられます。このような分析から、違反がなぜ見逃されたのか、なぜ違反を行ったのかということについて説明をつけることができます。また、このような理論的枠組みに乗れば、過去の改善事例を参考にすることも可能となります。

デモ:4M-4E分析

4M-4E分析とは、事故の原因を・対策を整理するための方法として、アメリカ国家航空宇宙局(NASA)などで採用された手法です。このフレームワークを利用することで、事故の原因を多角的に洗い出すことが可能です。

以下に、4M分析の事例を出します。4M分析では、事故の原因を4つの観点から分析していきます。

f:id:security_consultant:20160722115950p:plain

その後、4E分析を行います。4E分析では、4つの観点を活用しながら対策を検討していきます。

f:id:security_consultant:20160722120515p:plain

安全文化の提唱

安全文化(Safety Culture)とは、「安全性向上に向けて予防的に行動するための努力を常に怠らない組織文化」のことを意味します。このような組織文化は事故で死者がでる可能性があるインフラなどでは特に重要とされていますが、全社員が攻撃対象となる標的型攻撃もの場合も、怪しいメールが届いたり開いたりしたらすぐに報告してもらうなどの組織文化形成が重要となると考えられます。

例えば、安全文化が持つべき特徴としていかのものがよく挙げられます。

  1. Bad Newsを歓迎する。(=報告が、報告者の不利益になってはいけない)
  2. 報告者・情報提供者を匿名化する。
  3. 情報収集部門と懲戒担当部門を分離する。
  4. 報告者にフィードバックを行う。

こういった過去で培われたノウハウを学び、生かしていける点も分析の枠組みを利用するメリットだと考えられます。

まとめ

「なんだ?当たり前のことじゃないか?」と思われるかも知れませんが、安全学という分析の枠組み・ツールを使うことでインシデントを整理したり説明を追加したりできるようになることをご理解いただけたと思います。今後インシデントが話題になったときにこの枠組みがさらにどこまで応用化農家考えてみたいと思います。