NISCもゼロからテレワーク導入――コロナ禍が問う、ウィズリスク時代の緊急対応:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
この反省を踏まえ、4月14日にはNISCのWebページとTwitterで配信すると、意外な展開も生まれた。職員の半分以上が外国人だという機関から、「この注意喚起を英訳してもいいか」と問い合わせがあったのだ。
「それで英訳してもらい、英語版の注意喚起に発展しました。多様なチャネルを使って情報提供したことで、互助による成果につなげることができました」(結城氏)
緊急時には緊急時のやり方がある
「テレワークを実施する際にセキュリティ上留意すべき点について」を策定する過程で、結城氏にはもう1つ気付きがあった。
「注意喚起となると、どうしても厳格になってしまう傾向があります。今回の注意喚起も、原案はあまりにも厳格で、『テレワークはするな』というメッセージに取られかねないものでした。理想論ではなく現実に即したものを目指し、今あるIT資産で何ができるかという形に調整していきました。もちろん、セキュリティポリシーを貴ぶことから始め、目的に照らして柔軟に対応することが重要であることは大前提です」(結城氏)
原案から変更したポイントは、セキュリティポリシーの策定だ。注意喚起原案では、ゼロから作り上げることを求めていた。しかし、「今あるセキュリティポリシーに何を加えれば良いのか」という観点で、既存の資産を最大限に活用し、足りない要素を加えていく形に修正した。
結城氏は、これまで多くの緊急対応を経験してきたが、緊急時になると、普段は無視しているような原理原則を持ち出してくるケースが多くみられた。いわゆる「ベテランバイアス」や「正常バイアス」といわれるものだ。しかし、緊急時には緊急時のやり方があり、セキュリティポリシーを貴びつつ、平常時に行う原理原則を緊急時に逐一当てはめようとしてもそぐわない。
また、これまでのセキュリティポリシーや認識がアップデートされないまま、テレワークに突入した組織も少なくないだろう。例えば、テレワークのセキュリティ対策として多くの組織で使用しているVPNも、ソフトウェアで構成されており、他のソリューションと同様に脆弱性もあり得る。VPNを盲信するのではなく、迅速なパッチ適用を行うなど、適切な管理がとりわけ重要であること、さらに多要素認証の採用を検討するよう促した。
長期化するテレワーク、セキュリティのほころびも
7月末には、「夏季休暇等に伴うセキュリティ上の留意点について(注意喚起)」を発出した。多くの企業が急場でテレワークを導入し、セキュリティのほころびも見え始めてきたであろうタイミングだ。テレワークの長期化に伴うリスクの高まりと、これに乗じたサイバー攻撃の兆候を考慮した注意喚起とした。
「4月の注意喚起では、各組織のCSIRT体制に期待していましたが、新型コロナ対応はIT部門だけではなく総務部門が対応していた組織も多く、NISCからの情報がうまく伝わらないケースがみられました。その反省を踏まえ、今回は、組織全体に向けた対策を促すメッセージを心掛けました。日本の組織の特質と脆さをどう克服するか、考えるべき時が来たと感じています」(結城氏)
コロナ禍が世に問うた、「ウィズリスク」
ウィズコロナという言葉も浸透し、皆がリスクと共存せざるを得ない状況にさらされている。結城氏は、もはやゼロリスクだけでは通用しない。各組織が、ウィズリスクを意識したリスクマネジメントに移行すべきだと指摘する。
これに伴い、NISCからの情報提供も、リスクコミュニケーションの一環として行うよう変わっていく必要があるという。
「同じ事象に対して、何がどの程度リスクになるのかは組織のプロファイルによって異なります。各組織が、それぞれのプロファイルと守るべきものに応じて自ら考え、主体性を持って対応するよう促すものになっていかなければなりません」(結城氏)
詳しい人ほど要注意、専門知識が視野を狭くする
結城氏は、一連のBCP対応を振り返り、専門知識が視野を狭くする、「ベテランバイアス」との戦いだったと振り返る。どういうことか。
例えば、メールセキュリティを考える上で、「VPNがないからテレワークはできない」という指摘に始まり、エンドツーエンドのセキュリティ確保にE2Eセキュリティを保証するPGP暗号を使おうとすれば、「そんなものでいいのか」と否定される。専門家は、過去の経験や知識が邪魔をして柔軟な判断ができず、対応が遅くなるケースがあるというのだ。
結城氏は「新しいことに挑戦しようとすると、どうしても自分自身や周囲の「ベテランバイアス」が行動に抑制をかけます。もどかしさがある半面、多様な面からのアドバイスと受け止め、そのぐらいの覚悟は必要なのではないでしょうか」と締めくくった。
関連記事
- タイのセキュリティコミュニティーリーダーが語る、一人ではなく皆で学ぶ本当の意義
- 「100%完璧の守り」が不可能な時代に企業の情報セキュリティはどうあるべきか?
- サイバーセキュリティ対策がこれ以上後手に回らないために今できることとは?
- 元ゲーマーが仕掛けるサイバー攻撃机上演習に、企業のセキュリティリーダーたちが挑む
- 有事の事態対処は“シンプル”に――柔軟に対応できる能力を身に付ける
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 世界で最も歩きやすい都市トップ10が発表
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- 「ITmedia エグゼクティブ DX eマガジン 2024春」(PDF)の提供開始
- 自動物流道路導入に向け岸田首相がルート選定指示へ 22日のデジタル行財政会議
- AI時代に求められるデータドリブン経営 大事なのは「顧客理解」
- 日産、高性能EVへ「リチウム金属負極」 採用の全固体電池 エネルギー密度、従来の2倍
- 第25回:メンバーが「自然に本音を話せる1on1」になるまでの3ステップ
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。