海外エキスパートに聞く、セキュリティ人材、育つ人と育たない人の違いは？：サイバーセキュリティマネジメント海外放浪記（2/2 ページ）

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　そういうときは「セキュリティはとても重要な問題で、いつか必ずあなたの出番はあります。そのときのために今は自分の知識やスキルを高めるべく勉強を続けましょう」とアドバイスします。また、サイバーセキュリティにはコラボレーションが欠かせないので、コミュニケーション能力が重要であり、その時に必要なスタンスはオープン・マインドであると考えています。

筆者　これまでにアドリが経験したサイバー攻撃の事案のなかで特に印象的だったもの、自分の考えを変えた事象があれば教えてください

アドリ　CyberSecurity Malaysiaで働いていたときに、マレーシア国内で発生した事案です。ある試験センター（資格試験などの試験のみを請け負う民間業者）で起きたインシデントなのですが、結論から言うと攻撃者が内部の人間と協力していて、受検者がお金を払えば誰でも簡単に試験に合格できるというものです。

　試験センターでは、試験は会場のパソコンを使ってWebアプリケーション上で行われていたのですが、試験を実施すると、毎回10分程度で全ての問題を終わらせてしまう人がいることに気付きました。10分で終わるはずはない、と不思議に思ったシステム管理者は、試験システムのことを調べてみたところ自分で設置したわけではないプログラムが動いているのを発見しました。彼はそのプログラムを削除しましたが、後日また設置されていることに気付きます。

　彼はプログラムについて詳しい調査をしようとしましたが、試験センターの経営陣は「そんなことをしている暇があるなら仕事をしろ」と取り合ってくれませんでした。しかし、システム管理者は絶対に何かがおかしい、と感じたため経営陣に交渉をして追加の調査を許されました。

　その調査の中で、セキュリティコミュニティーに相談したところ、そのプログラムが現在で言うところRAT（遠隔操作のためのプログラム）だということが判明したのです。受検者が試験の解答後、攻撃者が解答を書き換えて合格するようにしていたというものだったのです。

　この問題は、技術的な対応や解決は比較的シンプルですが、非技術的な観点では、内部の人間が関与していたことや、試験センターとしての信頼性の問題、過去に合格した人をどのように扱うかといった経営的な視点でさまざまな問題が発生しました。

　このときに、「セキュリティは技術だけの問題じゃない」ということを理解しました。技術の問題は解決することがそれほど難しくありませんが、現実世界の問題を解決することは難しいのです。

筆者　サイバーセキュリティの取り組みについて、企業の経営者に伝えたいことがあれば教えてください

アドリ　サイバーセキュリティは10年前に比べるとかなり理解されやすくなりました。しかし、経営目線でいくと、最も重要なのはプライオリティの設定だと思います。

　経営者の中にはサイバーセキュリティに興味を持たず、法的な要求がなければ何もしないという人たちもいるのですが、それはそういう優先順位付けをしているということです。

　しかし考えてほしいのは、クラウドサービスなどは便利に簡単に利用することができますが、サイバー攻撃を受けた場合の被害はそれだけ甚大になります。企業はITを活用するという話になると、利益や効果などに目が行きがちですが、リスクへの対応も重要なのです。

　私は多くの組織がセキュリティ体制をしっかり作るということと真剣に向き合っていないと感じます。サイバーセキュリティのアセスメントを実施し、戦略を立てる。ネットワークやシステムのセキュリティ監視を実施する。コミュニティーに所属する。社内の人を育てる。

　他にもさまざまなことがありますが、サイバーセキュリティに関する体制構築はどれも時間がかかり、すぐに結果や効果が目に見えて出てくるものではありません。おそらく、これが多くの経営者がサイバーセキュリティと真剣に向き合うことのできない要因だと思います。

　しかし、サイバーセキュリティのプログラムがよくできている企業は、そういったこととしっかりと向き合っています。サイバーセキュリティの組織的な能力を向上させるためには、他社から学ぶことがとても重要です。世の中で起きている事案に目を向け、自社は大丈夫なのか、と心配することから始まります。自分自身の健康状態に気を付けるのと同じように、自社のサイバーセキュリティにも気を付けてほしいと思います。

　サイバーセキュリティは人間の能力を向上させなければ最終的にはよくなりません。ハードウェアやソフトウェアに任せることができる範囲もありますが、常に最新の知識や経験を得ることが重要です。

　若い人たち、これからの新しい世代が最新の情報に適切に触れることのできるような環境を提供すらできていない企業が多くあります。必要な情報はインターネットにあり、誰でもアクセスできるようになっているにもかかわらず、企業環境がそれを許さないということが起きています。そういったことと改めて向き合ってほしいと感じています。

筆者　サイバーセキュリティ人材で育つ人と育たない人の違いは何でしょうか

アドリ　確実にいえることは、興味を持っているかどうかです。そして自分で取り組むことができる人かどうか。この2つが必要な要素でしょう。

　これまでに多くのサイバーセキュリティ人材を育てる活動をしてきましたが、途中で興味を失って他の分野に行ってしまった人、スキルも身につけたが発揮する機会がなくて他の分野に行ってしまった人などを見てきました。

　サイバーセキュリティの世界で長く経験をしてきたわれわれのような人間がすべきことは、若者やこれからの人たちが興味を持てる場を提供することです。どこかのトレーニングやカンファレンスで会ったときにfacebookなどのSNSでつながっておけば、定期的に情報を提供したりすることが可能です。そういった興味を持ち続けてもらうための工夫も必要でしょう。

筆者　最後に何か一言お願いします

アドリ　サイバーセキュリティではコラボレーションが重要だと話しましたが、コラボレーションを進めるためには、自分と立場の近い人、同じ業界の人など近しい人と話をすることが効果的でしょう。そして信頼できる人を見つけて共に切磋琢磨しながら、お互いを高めていけるように成長してください。

筆者　本日はありがとうございました

アドリの撮影した写真作品から彼のお気に入りの一枚（筆者注：アドリは最近写真撮影を趣味としています。こちらから彼が撮影している写真を見ることができます。

著者プロフィール:鎌田敬介

Armoris取締役CTO、『サイバーセキュリティマネジメント入門』著者

元ゲーマー。学生時代にITを学び、社会人になってからセキュリティの世界へ入る。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。