ポーランドのエキスパートに聞く「社員のスキル向上に投資したら、学ぶだけ学んで転職してしまうではないか」：サイバーセキュリティマネジメント海外放浪記（2/2 ページ）

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　また、本番では絶対にできない「実験的に試す」といったことができるのも演習の良いところです。もちろん、机上演習は経営層など組織上層部むけの意思決定の訓練にはとても有効ですので、机上演習と実務的な演習を組み合わせて行うことが効果的でしょう。

筆者　サイバーセキュリティの仕事をしてきた中で特に印象に残っている出来事を教えてください。

P　私がポーランドの銀行業界で働くようになってからすぐに、業界全体を巻き込む歴史的なサイバー攻撃が発生したことによって業界全体が大混乱に陥る様子を目の当たりにし、業界横断的な協力関係の構築が不可欠だと実感しました。

　それは2017年の始め頃に発生した攻撃です。ポーランドの金融規制当局のWebサイトが改ざんされ、いわゆる水飲み場攻撃によって、ポーランド国内の多くの銀行の社内ネットワークでのマルウェア感染につながったものです。これは、現在に至るまでポーランドの銀行業界にとって最も深刻なものです。この攻撃が明らかになったのは、とある銀行の社内ネットワークでマルウェアの活動が発見されたことがきっかけでした。

　当初は誰も金融規制当局が関係していることなど考えもしなかったのです。そして何週間も気付かないまま攻撃は進展していきました。私は自分が勤めていた銀行の社内ネットワークを監視していて、不審な兆候を発見しました。

　社内にはネットワークやシステムのセキュリティ監視システムがしっかりと入っていたので、挙動をトレースすることで原因を突き止めることができました。社内ネットワークでマルウェア感染が明らかになり、それが金融規制当局のWebサイトからもたらされたものであることが判明したときは本当に驚きました。

　銀行というのは通常巨大な組織であり、こういった攻撃の分析を1人で行うのは不可能で、チームで仕事をする必要がありますし、社内外に多くのステークホルダーがいる状況です。分析には膨大な時間がかかるため、外部のリソースから協力を得る必要もあります。組織を越えて協力し合うことの大切さ、観測できたデータを共有することの大切さ、それがあって初めてインシデント対応は成功するということを、この事案対処の経験を通じて学びました。

　繰り返しになりますが、助け合うことやチームワークは非常に重要で、他の何にも代えがたい価値があります。ポーランドの金融業界のサイバーセキュリティコミュニティーでは、この攻撃は歴史上最悪なものだったけれども、業界として協力し合うことの必要性を気付かせてくれた最も価値のある事案でもあったと、現在でも話題になります。この事案を繰り返さないようにという思いで、われわれはサイバーセキュリティ能力の向上、サイバーレジリエンスの強化に取り組んでいます。

筆者　企業の役員はサイバーセキュリティについて、どの程度、どのようなことを理解しておくべきだと思いますか？

P　サイバーセキュリティは投資であるという認識を持つべきです。企業活動は利益を上げることがメインです。そんなことは誰でも分かっています。企業の役員は、サイバーセキュリティチームは企業の目的や目標を達成するために必要不可欠な支援をしてくれていると考えるべきです。

　企業でサイバーセキュリティの仕事をする人たちの知識や能力は、どんなセキュリティ製品でも、サービスでも、監査でも得ることのできない貴重なものです。その企業のネットワークやシステムのことを隅々まで知り尽くしている人は社外にはいません。サイバーセキュリティの仕事をする人たちの能力に投資することは、企業がサイバー攻撃の被害を受ける可能性を低減することへの投資です。

　ある企業の役員が「社員のスキル向上に投資したら、学ぶだけ学んで転職してしまうではないか」と言ったことがありました。それに対して私は「人材のスキルに投資しなければ、何も学ばない人たちがずっと社内にい続ける、ということではないでしょうか？」と答えました。

　企業における一般社員はいわゆる一線の防御を担う役割がありますが、実際には彼らがもっとも狙われやすいポイントでもあります。一般社員がサイバー攻撃の最新の脅威のことを考えてくれなければ、到底企業全体を守り続けることは不可能です。世の中には無料で得られるサイバーセキュリティの情報ソースがたくさんあります。一般社員にも分かりやすいように解説されている記事もあります。そういった情報を共有するなど小さなことから始められる取り組みもあり、その積み重ねが未来の自社を守ることに繋つながるのです。

　従業員の一人がうかつにメールの添付ファイルをクリックしてランサムウェアに感染して、何億円もの身代金を払う事を考えたら抜群のROIだ、というのが私の意見です。

※筆者注：金融業界でよく使われる考え方にThree Lines of Defenseという三線防御でリスクコントロールするというコンセプトがあります。一線で一般社員が業務執行部門としてリスクオーナーとして対処する、二線でサイバーセキュリティを含むリスク管理の専門部署がリスクに対処する、三線は監査の観点でリスクに対処するという考え方です。

筆者　これからサイバーセキュリティを学ぼうと思っている人たちにアドバイスはありますか？

P　伝えたいことが3つありますが、その前にサイバーセキュリティはとてつもなく巨大なフィールドです。サイバーセキュリティの分野では、誰もが自分に向いている仕事を見つけることができるでしょう。

　それを踏まえた上で、1つ目に大事なのは何にでも興味を持つことです。そうすることで自分に適した仕事がどれなのかを発見することができます。

　2つ目に大切なのは壊してしまうことを恐れない。何かを深く知りたいと思ったら、それを分解して元に戻すということは仕組みを学ぶ上でとても大切です。誰かがやった記事を読んだりするだけではなく、自分の手でやらなければ理解することはできません。そのようなスタンスで学び続けることを楽しんで、同じような考え方をしてくれる仲間を見つけることも大切です。自分でやってみることで、他の人の経験からも理解することができます。

　3つ目に大切なのは、夢中になれることをやっている間は、体中の血液の巡りがよくなってずっと起きていられます。それは要するにあなたに向いている仕事だということです。

筆者　ありがとうございます。相変わらず話が長いね（筆者注：この記事全体的に、実際の発言より切り詰めてお送りしています）

P　話が長くて悪かったなー、もうすこし短くした方がいい？

筆者　いや、別にいいです。最後の質問ですが最近の趣味は何ですか？

P　自分は子供の頃から通信技術が大好きです。ワルシャワ工科大学でも通信技術を学びました。最近はSDR（Software Defined Radio）で遊びはじめました。学び始めるのがちょっと遅かったのは分かっているのですが、いまはこの分野についていろいろなことを学んでいきたいと思います。アマチュア無線の免許も取ってみようと考えているし、日本ではアマチュア無線が盛んなのも知っています。そういえば今度日本に行ったら秋葉原でラジオを買いたいと思っています。

パウエルの最近のおもちゃ

筆者　いろいろな話をありがとうございました。

P　ところで、一応記事の内容を広報部門に確認しないといけないんだけど締切はいつ？

筆者　前の回から大分あいてるので論理的には締切はもう過ぎている。

P　それは大変だ、広報部門に1時間に1回メールを送って「早く確認しろ」ってせっつくスクリプトを作るよ。

（筆者注：スクリプトのおかげかどうかは分かりませんが、このインタビュー翌日には無事に広報部門の許可を得ることができました）

　今回はポーランドの友人、パウエルの話を紹介しました。公的な立場のセキュリティ専門機関から銀行へ転職し、そのあとコンサルタントへ転職、その後銀行に再び転職という経緯をへた彼ですが、実はいつか日本で働きたいという思いを持っています。

　来日したときに国内企業との面談をアレンジしたこともあるのですが、うまく折り合わず彼の希望は実現していません。今回の彼の話では、私もよく質問を受けるセキュリティの内製化に関して一つの考え方を提示してくれていると思います。

　また、セキュリティが好きでセキュリティの仕事をしている人たちがどういったメンタリティなのかということについてもその一つの姿を提示してくれています。

　東京も寒くなってきましたが、12月初頭で彼の住むワルシャワは既にマイナス2度を記録しているそうです。ポーランドの人たちは寒い冬を乗り越える強い忍耐力があるのか、セキュリティ業界で活躍している人たちも粘り強い人が多いように見受けられます。

著者プロフィール:鎌田敬介

Armoris取締役CTO、『サイバーセキュリティマネジメント入門』著者

元ゲーマー。学生時代にITを学び、社会人になってからセキュリティの世界へ入る。20代後半から国際会議での講演や運営に関与しながら、国際連携や海外セキュリティ機関の設立を支援。2011〜14年 三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事。その後、金融ISAC創設時から参画し、国内外セキュリティコミュニティーの活性化を支援。並行して12年間に渡り、国内外でサイバー攻撃演習を実施するなど、経営層・管理者・技術者を対象に幅広く実践的なノウハウをグローバル目線で届けている。金融庁参与も務める。