セキュリティの腕を磨く鍵は、「答えは一つじゃない」に気付けるかサイバーセキュリティマネジメント海外放浪記(2/2 ページ)

» 2020年06月29日 07時01分 公開
[鎌田敬介ITmedia]
前のページへ 1|2       
※本記事はアフィリエイトプログラムによる収益を得ています

 自分が思い付かなかった考え方を知るだけで、すぐに答えを得られるということがあります。多様な考え方を取り入れようという姿勢をもつことはサイバーセキュリティ対策においては強い武器となります。そのため、やはり日常的な情報収集や他者との意見交換は欠かせません。

ケース2:マルウェアに感染する可能性は?

 ヨーロッパのセキュリティカンファレンスで他の参加者と食事をしていたときのことです。その地域では有名なセキュリティ技術者数人と、私を含めた日本人数名が参加していました。日本人Oさんが「あなたは著名なセキュリティ専門家だが、自分の端末がマルウェアに感染していないことをどうやって担保をしているのか」と質問しました。

 ヨーロッパでは有名なセキュリティ技術者のPさんは「自分の端末が絶対にマルウェアに感染していないなんて言うことはできない。可能性はゼロじゃないし、どれだけセキュリティ対策をしていても感染することはあり得るから」と答えていました。Oさんはしばらく考え込んで「自分の端末がマルウェアに感染しているかもしれない、と堂々と言っていいのか……」ということについて受け入れがたかったようです。

 セキュリティ対策をしっかりとしているのだから感染はしていないと言うだろうし、どういうセキュリティ対策をしているのか聞きたかったのに対し、全然違う答が返ってきたのです。Oさんからはその後、この件について「そういうものなのか」と聞かれ、セキュリティ対策はリスクをゼロにするものではないので、どのような製品を使ってどれだけ対策をしてもマルウェアに感染したり情報漏えいしたりするリスクはあり得るということを説明しましたがどうも納得がいかないようでした。

 また、質問されたPさんには「ああいうこというと拒絶反応する人がいるんじゃないか?」と聞いてみましたが「でも事実だし」ということで笑いながら答えてくれました。

その際のメインディッシュだった魚。英語ではRock Fishと呼ばれているが見た目も味も日本で食べるキンキに近かった。大きさはキンキの数倍あります。

ケース3:正解はいくつ?

 これは特定の国やイベントでの経験、というわけではありませんが、共通的によくあるストーリーです。トレーニングや演習などをしていると、参加者に状況を付与して対応を求めることがあります。

 ハンズオン形式の解析演習であれば調査をして被害範囲や内容を明らかにする作業だったりしますし、机上演習であれば「情報漏えいが発覚した」などの状況に対して何をするか、といったことを議論してもらいます。

 ハンズオン形式の演習では、参加者の中の誰かが答にたどりついた場合にはなるべく講師である自分ではなく参加者に回答方法を説明してもらうようにしています。参加者のAさんが回答方法を説明すると、Bさんが「自分は違うやりかたをしたがどっちが正しいのか?」という質問をされることがあります。結果的にたどりつきさえすればどちらも正しいのですが、答えは単一であるということに期待している参加者が意外と多い、と感じています。

 机上演習ではいくつかのチームに分かれて議論し、チームごとに発表してもらう手法を良く利用しますが、Xチームの発表内容とYチームの発表内容が全然異なることもあります。そういった際にはお互いに自分たちが議論しなかった観点を学ぶ機会として有益ですが、ここでも「正解はどれか?」ということが質問として出がちです。

 正解は組織によって異なる、ということを事例ベースで説明したり、たとえ話をしたりしてさまざまな考え方やアプローチがあるし、組織の状況や事案の状況によると説明します。が、「正解があるだろう」といってなかなか納得しない参加者もいます。後日実際に事案を経験して正解がないということを理解してもらえることもあります。

 さまざまな状況があるのでいろいろな考え方や答えがあり得る。どれを採用するかは人によって違うし状況によっても違う。多様な選択肢があり多様な考え方がある、これもまた多様性の一つのかたちだと思います。現代の世の中においては、必ずしも単一の正解があるとは限らないことが多いのではないでしょうか。

 国内外問わずセキュリティ専門家として活躍している人は、情報感度が高く、最近の世の中でどんなことが起きているか、どういう問題があったか、どう対処すべきか、といったことを日夜勉強し続けています。さまざまな考え方があることを学び、多様な考え方を受け入れる素地ができているように思います。

 コロナウイルスへの対応も、各国各様であり対策の因果関係も明らかにならないまま手探りで模索している状況です。いろいろな考え方があり得るということ、正解だったかどうかは結果的にしか分からないこと、結果的に不正解となる選択をしてしまう可能性もあることなどを踏まえながら、的確に状況を把握して判断できる、間違いを素直に認めて速やかに軌道修正できる、そんな柔軟な組織作りがこれからはますます求められるのではないでしょうか。

著者プロフィール:鎌田敬介

Armoris取締役CTO、『サイバーセキュリティマネジメント入門』著者

元ゲーマー。学生時代にITを学び、社会人になってからセキュリティの世界へ入る。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆