どうも、たかどんです。AIJ投資顧問の年金問題が世間を騒がしていますね。
中小企業の年金基金が多く加入していたようで、心配です。

さて、今回AIJは私募投信で顧客の資産を運用していたとのことです。
私募投信とは、プロ投資家向けの金融商品でデリバティブ（派生金融商品）等の高度な金融商品の活用で高い利回りが狙える一方、リスクも大きくなる商品です。

何故、安定運用が求められるはずの年金基金がそのような私募投信に投資を行っていたかというと、年金受給者増加/納入者現象、景気低迷等の環境が悪い中で一定の利回りを確保するため、仕方がなくプロ投資家として高利回り商品に手を出していたようです。

しかし、一般的には年金基金はプロ投資家ではなく素人が大半でにもかかわらず高い利回りを狙うために、私募投信の仕組みが抜け穴として使われていたのが実態のようです。

ITセキュリティーの世界で、情報資産の管理状況を評価するために用いられる切り口として機密性、完全性、可用性という3つの要素があります。

それぞれ、以下のような内容です。
　機密性：情報へのアクセス権を持つ人だけがアクセスできる状態にする
　完全性：情報が、破壊・改ざん等されていない状態を確保する
　可用性：必要な人が必要な時に情報にアクセスできる状態を確保する

一般的にこの中で機密性・完全性は確保するものの可用性への考慮は漏れがちとなります。その結果、例えば折角外部に顧客データを持ち出せないよう暗号化を行っていたとしても、ユーザーが何らかの抜け穴（オンラインストレージ、USBメモリ、あるいは印刷等）を探し結果何のセキュリティー対策が打たれていないのと同様となってしまいます。

別の例えで言えば、鍵をかけた金庫に書類を保管したとします。これで、機密性・完全性は確保されるのですが、必要な人がこの書類を持ち出せず困るような状況が発生するとこっそりコピーを取るなどするようになります。
この結果、何のセキュリティー対策が打たれていないのと同様となるということです。

そこで、意図的に管理された抜け穴（USBに書き出すことは可能であるが、書き出す際に承認がないと書き出せないシステム等）を設けることで可用性をきちんと確保することがセキュリティーの管理上、重要となります。

今回の件は、金融商品取引法でプロ投資家というものを定めたものの、実態としては抜け穴として使われていたという点ではこのセキュリティーの可用性と同根ではないかと思います。

完全に漏れのないルールを決めることは困難だと思います。意図的に管理された抜け穴を設け、しっかり監視していくことが法律でもITセキュリティーでも重要だと感じました。

ちなみに、今回の件で金融庁はプロの投資家かどうか判断を厳格化する方向で動くようですが適切な運用がなされることを期待したいものです。