組織内でサイバーセキュリティを徹底するための実施項目はいくつもあるが、その中に「Shadow ITを作らないこと」がある。Shadow ITとは情報システム部門が把握していないデバイス等のこと。個人用PCやスマホを使ったり、公用スマホでも認可されていないアプリを入れたり、部門独自で契約したサービスを使ったりするなどである。
これらのことを徹底して管理するのは難しいのだが、できていなければITガバナンスの効いていない企業と見做され、大きな被害を受けたり、ステークホルダーから糾弾されることもある。各組織、それなりに努力はしているのだが、こんな記事が出てきて驚いた。
ロシアの軍人らが戦地での「スマホ禁令」案に憤激している理由 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
ロシア(*1)軍人が、戦場に私用スマホを持ち込んでいるというのだ。明らかに通信を傍受されて狙い撃たれたり、通話を盗聴されて情報が漏れたりするリスクがある。それなのに禁止令を出すと士気が落ちるから、やめさせるのが難しいとある。
今年になってドイツ軍首脳の会合での盗聴音声が、ロシア側から公表される事件があった。これは、会議参加者が「Open WiFi」に接続するというミスを犯したから(*2)だが、実際の戦場でも「スマホガバナンス」は出来ていいことが分かった。例えば日本の自衛隊はどうなのだろうか?在日米軍は?先日の「日米2+2」では、こんな話題は出たのだろうか?
もしスマホ利用を禁止できないのであれば、軍隊としての公用スマホを支給し、運用について規定を定めるべきだ。大手企業ならおおむねやっていることでもあり、鉄の規律の軍隊ならできないはずはない。さらにセキュリティ性を高める特殊なソフトウェアをデフォルトで入れておき、管理部門から監視しやすくしておく必要があるだろう。民間企業が見習いたいと思えるような実践と、民間への情報開示(指導と言ってもいい)を願いたいものだ。
*1:ウクライナもらしい