ウクライナ危機は、IT業界への示唆も大変に多いわけですが、私は、日本企業だけではなく日本政府に対して強く申し上げたいことがあります。

それは、「プロジェクトや運用開発に関わる従業員や外注企業のセキュリティチェックをもっと厳しくやるべきだ」ということです。

日本の多くの人は知りませんが、北米や欧州北部というのは、IT業界やユーザー企業でシステム業務に関わる従業員や外注業者のセキュリティチェックが案外厳しいのです。私の経験上、それが最も厳しい国の一つがイギリスです。

イギリスは全てにおいて性悪説で動く社会です。一見ルーズに見えますが、根本的なところでは他人や他の国を信用していません。これは、イギリスという国が戦勝国であり、 欧州における様々な戦いで生き残ってきたという歴史があるからです。

例えば大企業の場合、外注は一次請けまでしか依頼できないというように決まっていたりします。政府系のプロジェクトの場合は、一次請け企業や二次請け企業の従業員のバックグラウンドチェックを外部の専門企業が行うことがあります。

このチェックの内容は政府のものが最も厳しく、 セキュリティクリアランスと呼ばれていますが、 犯罪歴のチェックなども含み、それをクリアしなければ仕事をすることができません。日本の大企業や政府系プロジェクトではありえないほどの厳しさです。

なぜそこまで厳しいかというと、 システムに関わる人間は、組織に対してありとあらゆる破壊工作をすることが可能になるからです。下請け企業を制限したり細かいセキュリティクリアランスを行うことで、当然、費用が嵩むわけですが、安全対策を考えたらそれは必要コストです。

日本の組織というのは、費用を節約するあまり、 背景が微妙な下請け企業に業務をどんどん出してしまったり、 問題がある国に渡航経験がある人や、 セキュリティ上の懸念がある国と利益相関があるような取引をしている人であっても、平気でスタッフに入れてしまいます。

日本のセキュリティチェックは、性善説に基づいており、あまりにも甘いのです。