42カ国放浪して分かった、日本人的思考の脆弱性：サイバーセキュリティマネジメント海外放浪記（2/2 ページ）

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　この点について、別の米国の大手ユーザー企業のセキュリティ担当と議論したところ、その企業では「問題を適切にエスカレーションすれば組織の問題として扱われる」しかし「エスカレーションをしなかった場合は個人の問題として個人に責任が発生する」、という考え方になっているそうです。こういう考え方を浸透させるために、悪い情報を積極的にエスカレーションさせるよう、組織全体で積極的に課題に対処していく姿勢があります、と言っていました。

　私自身の経験でも日本の企業や組織でセキュリティに関するネガティブな情報が経営幹部によってどう扱われるかについて、都合の悪い情報がサクサクあがるところほどセキュリティに関する取組がどんどん進んでいるように見えます。一方でそうでないところは、本質的ではないところで悩んでいるケースが多いように感じます。言われてみればそうだよな、と思うことでも国外の人の視点からもそう見えるのか、と納得したケースです。

3、エストニア：サイバーセキュリティはAttack＆Defenseの問題である

　エストニアはヨーロッパにある人口132万人程度の小国で、国土面積は日本の9分の1程度ですが、電子国家としてすっかり有名になりました。エストニアはNATOのサイバーセキュリティのセンターがあるなど、サイバーセキュリティの世界でも有名です。日本では得ることの難しいサイバー攻撃の攻撃側のノウハウを保有している専門家もいます。こういった背景から、Armorisとしてはエストニアのサイバーセキュリティ体制構築に貢献してきた（いる）Jaan Priisaluと Rain Ottisの2人を顧問として迎えています。

エストニアでヤーンとレインと会議室で議論するより歩きながら話そう、ということで森林散歩

　私自身もエストニアを訪れ、現地の警察署で電子的に国民になることのできる e-Residencyカードを発行してもらったり（現地で申請して日本のエストニア大使館で受け取ります）、現金を一切使わずに生活できるところや、さまざまな電子サービスを実際に経験してみました。「なぜ彼らは電子国家をここまで成功させることができたのか？　日本はなぜうまくいかないのか？」ということを考察している記事などをよく読みますが、現地の人たちと議論してみると「エストニアは国が小さく、過去のしがらみがあまりないところから電子国家を立ち上げた。既存のビジネスが多く存在する日本ではそういった環境要因を変えていくのが特に難しいのでは？」というコメントでした。日本で電子化が進まないのは技術の問題ではないだろうと考えているそうです。

　さて、Armorisの顧問であるJaanとRainとサイバーセキュリティの観点でもさまざまな議論をしています。Rainはタリン工科大学の教授でもあり、サイバーセキュリティの修士課程を教えています。彼の修士課程のなかには「サイバーセキュリティマネジメント」も入っており、技術論もさることながら、組織論についても修士課程の学生達に多く議論させるそうです。

　「企業の運営や管理の実態を余り知らない大学生が組織論の観点で議論してもあまり腑に落ちないのでは？」と聞いてみると「それはその通りだが、卒業してしばらくすると、授業でやっていたことの意味がよく分かったと言ってくるよ」と話していました。彼の授業では、実在するある企業の社内のセキュリティポリシーについてどういった問題点があるかを議論したり、どんなにセキュリティ対策を施しても必ず穴ができてしまうということを実感できるような演習を行ったり、その他にも法的な観点や人事の観点など幅広い視点からサイバーセキュリティの組織的課題について議論します。

　あるとき、Rainから「サイバーセキュリティはAttack＆Defenseの問題なんだ。戦いでは攻撃を受けたら防御する、隙をみて攻撃を返す。日本人の昔の戦いでは攻撃をうけたらどうやって防御するんだ？」と聞かれました。彼らはいわゆるバイキングの人々なので、大きな剣と盾を持って戦うというのがベースにあるのですが、よく考えたら日本の侍は盾を持ってないよなあと漠然と考えていました。

　「戦い」「防御」という意識でサイバーセキュリティに取り組んでる人は日本ではほとんど見かけません。「サイバーセキュリティは戦いである」と考えている彼らのマインドセットと日本人のサイバーセキュリティへのマインドセットに大きな違いを感じた出来事です。

サイバーセキュリティは「組織管理」の問題

　サイバーセキュリティというとどうしても技術的な方に話が行きがちですが、技術的な部分はもちろんのこと、組織管理的な視点で問題点を抱えているケースも多々あります。「サイバーセキュリティはITの問題、技術の問題」としてしまうのではなく、「組織管理の問題として捉えたらどういった課題があるのか？」という視点を持って社内の状況を整理することも必要なのではないでしょうか。

【ITmedia エグゼクティブ研修】第2回サイバー攻撃対応机上演習CIO/CISOのためのインシデントハンドリング

　昨今のサイバー攻撃の増加、巧妙さを受け、ITmedia エグゼクティブでは、内閣サイバーセキュリティセンター（NISC）重要インフラグループ内閣参事官の結城則尚氏と、『サイバーセキュリティマネジメント入門』著者で、12年間に渡り、国内外でサイバー攻撃演習を実施している鎌田敬介氏をお迎えして開催します。

　4名程度のグループディスカッション形式で実施いたしますので、他者の視点や対応から新たな気付きを得たり、同組織から複数名で参加することでチームとしての対応力向上にもご活用いただけます。みなさまの挑戦、お待ちしております。

■開催日時：2020年2月20日（木）15:00〜19:45（受付開始15:00）

■場所：アイティメディアセミナールーム 東京都千代田区紀尾井町3-12紀尾井町ビル

■受講料：33,000円（税込）

詳細、お申込みはこちらからお願いします。（チケット販売のPeatixのサイトになります。）

著者プロフィール:鎌田敬介

Armoris 取締役CTO、『サイバーセキュリティマネジメント入門』著者

元ゲーマー。学生時代にITを学び、社会人になってからJPCERT/CCに入りセキュリティの世界へ。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。