年明け東南アジアで見た、自律的に学び続ける組織に不可欠なもの：サイバーセキュリティマネジメント海外放浪記（2/2 ページ）

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　翌日朝8時半。Mさんの個室に乗り込み、そこではじめて参加者がどれくらいか、どういう人が出るのか、彼らの組織の状況はどういうところなのかを詳しく聞くことができました。「準備ができたらワークショップを始めたい」と言うので、30分だけ時間をもらって、用意してきたコンテンツを聞いたばかりの話をベースにして組み替えたり追加したり減らしたりしました。こういうことは東南アジア仕事をしているとアルアルなのですが、事前に全てを事細かく決めてからでないとコトに望めないようだとちょっと付き合うのが難しいかもしれませんし、実際そういうスタイルの仕事から脱却できない日本企業が現地になじめないという状況もよく見かけます。

　ワークショップの会場にいくと約50人の受講者が待っています。自分の端末をプロジェクターにつなごうとするとプロジェクタ接続用のRGBコネクターの端子が曲がっていてうまく刺さらず、カバンのなかにいれておいた工具で直そうとしているとHDMIケーブルをどこかの部屋から持ってきて「こっちを使おう」と言われます。こんなトラブルも日常茶飯事です。

　はじめにサイバーセキュリティの歴史的なことや攻撃者の動向、脅威やリスク、マネジメント視点での話など一通り説明します。その後、彼らの組織のネットワーク環境を簡単にアセスメントする許可を得て、インターネットから見えるネットワーク構成やサーバに残っていそうな脆弱性を指摘したり、内部用のコンテンツがインターネットから見えていることなどを指摘したり、外部に漏えいしているIDとパスワードのリストなどを紹介したりしていきます。だいたい2時間くらい話したところで質疑応答に入ります。

　「自分たちはこれまでセキュリティへの取り組みをほとんどしてこなかった、これから始めるわれわれはどのようなことをしていくべきか、経営層にとって重要なポイントを2つか3つ教えてほしい。また参照すべきドキュメントを紹介してほしい」

　「ITの運用でもすでに精いっぱいのなかでセキュリティの問題が次から次へと出てくる。組織的にはこういうリソース不足の課題をどう扱うのが適切なのか」

　「内部犯行の脅威を想定した場合に気を付けるべき点を教えてほしい」

　「自組織に関係するIDとパスワードが漏えいしている事例を紹介してくれた。私のパスワードも漏えいしていた。こういった問題に対処するために有効なアプローチ方法をおしえてほしい」

　「今開発している○○というシステムのセキュリティが気になる。攻撃者はこういうシステムを攻撃しようと思ったらどういったことをしてくるのか」

　質問に答えると追加の質問が飛んできて議論になります。その場にいる他の人もその議論に加わってきます。途中現地語で彼ら同士の会話になると私は何を話しているのかよく分かりませんがかなり白熱している様子が見られます。こんな感じの質疑応答を30分くらいやったところで「そろそろランチタイムなのでこの辺で」と行司役のAさんがストップし、今日の話のサマリーや職員が気を付けるべき点について言及。それにてワークショップはクローズしました。ワークショップ終了後、質問をした人たちの何人かが私の所にやってきて追加の質問や議論、連絡先の交換（チャット系のアプリ）などをしました。

ワークショップ後に参加者とランチをした後ホテルにもどり、現地の国立大学の教授とプールサイドのカフェで意見交換。暖かな日差しが魅力的だが、もちろんプールで泳いでいる暇などない。この24時間後には寒い冬の東京に戻される

人から学ぶこと、自律的に学び続けるということ

　今回紹介したワークショップでは、上記に紹介した以外にもいろいろな質問が出ました。若い人たちが活発に質問し、その内容は自組織の将来のことを軸に考えており、問題を解決するためのヒントを得たいという姿勢がよく分かります。そのために必要なことがなんなのかをしっかり明らかにしたいという姿勢を強く感じました。最近は東南アジアでセミナーやワークショップなどをやると若い人でも高い問題意識を持っていることが感じられるような質問や議論をすることが本当に増えました。ベトナムの友人の12歳の娘には、自分の国の将来を支えるために自分は今がんばって勉強し、いずれ日本のようになるんだ、と面と向かって言われたこともあります（もちろん英語で）。

　今回のケースではCOOに相当するAさんも経営層としてしっかりしなければならない、そのために必要なことがなんなのかをしっかり明らかにしたいという姿勢を強く感じました。

　このワークショップは国内外限らず、説明や質問に対応をする際の応答で重視しているのは「他者から学ぶことの大切さを理解してもらう」ということです。サイバー攻撃の事例、セキュリティ対策の事例、ガイドライン、国際標準、フレームワークなど、さまざまな観点で質問者が必要とする情報は、正確かどうかはおいておいてインターネットで検索すればいき当たります。今はそういった他者の知恵が結集された成果物を見て、学ぶことが簡単にできるのです。

　質問を受けた時点で参考になる情報源を提供することはできますが、翌日以降も継続的に情報収集して世の中の状況変化を感じ取りながらサイバーセキュリティと向き合っていくことが重要なので、単純にその日の答えを得ること以上に、継続的に情報を入手し続けることのできる能力を身につける必要があります。その点も含めて、自分たちでできるようになる能力を付けること、継続してやり続ける必要があること、それを担える人を育てていくこと、最初のうちは自分たちだけではできないので先達に頼ること、技術的にも組織的にも人的にもそれらには時間がかかること、を説明します。

　質問をする人は即座に解決につながる答えを求める人が多いため、「自分が聞きたいのはそんな答えじゃない」というリアクションに触れることもあります。そういう人たちも、数年後に再会すると「簡単な答えはなかったということに気づいた」と言ってくれることもあります。答の選択肢を並べることは簡単ですが、そこに至る思考のアプローチを身につける必要があるため、そうしてしまっていては組織的な成長を阻害することになりかねません。自分たちで考えられる能力をいかに短時間で、組織的に身につけてもらえるか、いつもそのことを考慮しています。

　私がサイバーセキュリティのトレーニングやこういったワークショップなどを手掛けるようになってから12年がたち、育った人、育たなかった人、その間に組織的に成熟したところ、そうでなかったところなどを多く見てきました。そこで最も痛感したのは自律的に学習し続け、変化に対して柔軟な組織文化を作りあげていくことの重要性です。

　ワークショップやセミナーといった形では瞬間的な支援しかすることができません。それをより継続的なものにするためにはどうしたら良いか、これまでのサイバーセキュリティでのさまざまな取組や経験をどのように広く還元していくかを考えた結果、株式会社Armorisでの活動を始めることにしました。私自身もまだまだ学ぶことが多いと思っていますが、これからの時代、自律的に学習し、知識と経験を両面で吸収し続けることのできる人や組織を作っていくことが必要です。そういった人や組織の集まりをコミュニティとして形成していくことで新たな力につなげ、社会を変化させる力につなげていければ、と考えています。2020年はもちろん、それ以降はさらに変化の激しい世の中になることが考えられます。それに備えたチカラを身につけるためにも時間がかかります。問題意識はあるものの、どこから手を付けて良いか分からない人が多い中で、われわれにできることに挑戦していきます。

【ITmedia エグゼクティブ研修】第2回サイバー攻撃対応机上演習CIO/CISOのためのインシデントハンドリング

　昨今のサイバー攻撃の増加、巧妙さを受け、ITmedia エグゼクティブでは、内閣サイバーセキュリティセンター（NISC）重要インフラグループ内閣参事官の結城則尚氏と、『サイバーセキュリティマネジメント入門』著者で、12年間に渡り、国内外でサイバー攻撃演習を実施している鎌田敬介氏をお迎えして開催します。

　4名程度のグループディスカッション形式で実施いたしますので、他者の視点や対応から新たな気付きを得たり、同組織から複数名で参加することでチームとしての対応力向上にもご活用いただけます。みなさまの挑戦、お待ちしております。

■開催日時：2020年2月20日（木）15:00〜19:45（受付開始15:00）

■場所：アイティメディアセミナールーム 東京都千代田区紀尾井町3-12紀尾井町ビル

■受講料：33,000円（税込）

詳細、お申込みはこちらからお願いします。（チケット販売のPeatixのサイトになります。）

著者プロフィール:鎌田敬介

Armoris 取締役CTO、『サイバーセキュリティマネジメント入門』著者

元ゲーマー。学生時代にITを学び、社会人になってからセキュリティの世界へ入る。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。