この点について、別の米国の大手ユーザー企業のセキュリティ担当と議論したところ、その企業では「問題を適切にエスカレーションすれば組織の問題として扱われる」しかし「エスカレーションをしなかった場合は個人の問題として個人に責任が発生する」、という考え方になっているそうです。こういう考え方を浸透させるために、悪い情報を積極的にエスカレーションさせるよう、組織全体で積極的に課題に対処していく姿勢があります、と言っていました。
私自身の経験でも日本の企業や組織でセキュリティに関するネガティブな情報が経営幹部によってどう扱われるかについて、都合の悪い情報がサクサクあがるところほどセキュリティに関する取組がどんどん進んでいるように見えます。一方でそうでないところは、本質的ではないところで悩んでいるケースが多いように感じます。言われてみればそうだよな、と思うことでも国外の人の視点からもそう見えるのか、と納得したケースです。
エストニアはヨーロッパにある人口132万人程度の小国で、国土面積は日本の9分の1程度ですが、電子国家としてすっかり有名になりました。エストニアはNATOのサイバーセキュリティのセンターがあるなど、サイバーセキュリティの世界でも有名です。日本では得ることの難しいサイバー攻撃の攻撃側のノウハウを保有している専門家もいます。こういった背景から、Armorisとしてはエストニアのサイバーセキュリティ体制構築に貢献してきた(いる)Jaan Priisaluと Rain Ottisの2人を顧問として迎えています。
私自身もエストニアを訪れ、現地の警察署で電子的に国民になることのできる e-Residencyカードを発行してもらったり(現地で申請して日本のエストニア大使館で受け取ります)、現金を一切使わずに生活できるところや、さまざまな電子サービスを実際に経験してみました。「なぜ彼らは電子国家をここまで成功させることができたのか? 日本はなぜうまくいかないのか?」ということを考察している記事などをよく読みますが、現地の人たちと議論してみると「エストニアは国が小さく、過去のしがらみがあまりないところから電子国家を立ち上げた。既存のビジネスが多く存在する日本ではそういった環境要因を変えていくのが特に難しいのでは?」というコメントでした。日本で電子化が進まないのは技術の問題ではないだろうと考えているそうです。
さて、Armorisの顧問であるJaanとRainとサイバーセキュリティの観点でもさまざまな議論をしています。Rainはタリン工科大学の教授でもあり、サイバーセキュリティの修士課程を教えています。彼の修士課程のなかには「サイバーセキュリティマネジメント」も入っており、技術論もさることながら、組織論についても修士課程の学生達に多く議論させるそうです。
「企業の運営や管理の実態を余り知らない大学生が組織論の観点で議論してもあまり腑に落ちないのでは?」と聞いてみると「それはその通りだが、卒業してしばらくすると、授業でやっていたことの意味がよく分かったと言ってくるよ」と話していました。彼の授業では、実在するある企業の社内のセキュリティポリシーについてどういった問題点があるかを議論したり、どんなにセキュリティ対策を施しても必ず穴ができてしまうということを実感できるような演習を行ったり、その他にも法的な観点や人事の観点など幅広い視点からサイバーセキュリティの組織的課題について議論します。
あるとき、Rainから「サイバーセキュリティはAttack&Defenseの問題なんだ。戦いでは攻撃を受けたら防御する、隙をみて攻撃を返す。日本人の昔の戦いでは攻撃をうけたらどうやって防御するんだ?」と聞かれました。彼らはいわゆるバイキングの人々なので、大きな剣と盾を持って戦うというのがベースにあるのですが、よく考えたら日本の侍は盾を持ってないよなあと漠然と考えていました。
「戦い」「防御」という意識でサイバーセキュリティに取り組んでる人は日本ではほとんど見かけません。「サイバーセキュリティは戦いである」と考えている彼らのマインドセットと日本人のサイバーセキュリティへのマインドセットに大きな違いを感じた出来事です。
サイバーセキュリティというとどうしても技術的な方に話が行きがちですが、技術的な部分はもちろんのこと、組織管理的な視点で問題点を抱えているケースも多々あります。「サイバーセキュリティはITの問題、技術の問題」としてしまうのではなく、「組織管理の問題として捉えたらどういった課題があるのか?」という視点を持って社内の状況を整理することも必要なのではないでしょうか。
昨今のサイバー攻撃の増加、巧妙さを受け、ITmedia エグゼクティブでは、内閣サイバーセキュリティセンター(NISC)重要インフラグループ内閣参事官の結城則尚氏と、『サイバーセキュリティマネジメント入門』著者で、12年間に渡り、国内外でサイバー攻撃演習を実施している鎌田敬介氏をお迎えして開催します。
4名程度のグループディスカッション形式で実施いたしますので、他者の視点や対応から新たな気付きを得たり、同組織から複数名で参加することでチームとしての対応力向上にもご活用いただけます。みなさまの挑戦、お待ちしております。
■開催日時:2020年2月20日(木)15:00〜19:45(受付開始15:00)
■場所:アイティメディアセミナールーム 東京都千代田区紀尾井町3-12紀尾井町ビル
■受講料:33,000円(税込)
詳細、お申込みはこちらからお願いします。(チケット販売のPeatixのサイトになります。)
Armoris 取締役CTO、『サイバーセキュリティマネジメント入門』著者
元ゲーマー。学生時代にITを学び、社会人になってからJPCERT/CCに入りセキュリティの世界へ。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授