守るべきものは何か? それはどこにあるのか? 何か起きた時の対応計画はどうなっているのか? 残存リスクとはどのように向き合っているのか? ということを、経営者は理解するべきだ。
(前編)米国 世界最古のCSIRTで学んだこと 情報共有はゴールではない、共有すべきは……
鎌田 企業の経営者はサイバーセキュリティとどのように向き合うべきだと思いますか?
ジェフ 技術に明るくない経営者は、サイバーセキュリティを怖いものだと感じてているようですが、経営者は、サイバーセキュリティを技術ではなくあくまでもビジネスの問題として扱うべきです。
経営者にとってのサイバーセキュリティは、経営企画であり、リスク管理です。経営者は、自社の工場のどこにスプリンクラーがあるかを知っている必要はありません。しかし、彼らは火事によってどういうリスクがあるのか、ということを理解し、スプリンクラーシステムを導入し、従業員をトレーニングし、火災報知器を設置し、保険に入ることを検討する必要があるでしょう。
サイバーセキュリティも同じです。守るべきものは何か? それはどこにあるのか? どうやって守っているのか? それを守るために従業員にどのような教育を行っているのか? 何か起きた時の対応計画はどうなっているのか? 残存リスクとはどのように向き合っているのか? ということを、経営者は理解するべきです。
鎌田 確かに、企業のセキュリティ責任者がサイバーセキュリティを技術の問題として説明し、経営層の理解を得られないというケースは日本でも多く見られます。米国でも同じなんですね。企業のセキュリティ責任者と経営者は、どうすれば良い協力関係が築けるのでしょうか?
ジェフ 私は演習を行うことが非常に効果的だと信じています。そして、演習をするときはセキュリティの担当者だけではなくて、経営者も参加するべきです。演習でたくさんミスをすることで、経営者はサイバー攻撃事案発生時の意思決定の難しさを痛感するでしょう。ミスをすることは経験という観点で非常に重要なのです。しかも演習ならいくらミスをしても現実世界への影響がありません。
実際にインシデントが起きれば、意思決定するのは経営者たちです。例えば、あなたの会社がランサムウェアの被害を受けて50億円の支払が要求されているとします。支払をするかどうかの意思決定は誰がするでしょうか? その人は演習に必ず参加すべきです。
ジェフ さまざまな企業のサイバーセキュリティ体制を見てきましたが、演習プログラムがしっかりしている企業は素晴らしい体制を構築しています。しかし、チェックリストのような演習方式を採用しているところはそうでない傾向もあります。チェックリスト方式を採用しているような所は、だいたい法律や規制、監査などのコンプライアンスの観点で演習を行っています。しかし、そういった企業は学ぶことに対して真剣に向き合っているとは言いがたい。単に「要求事項だから」演習をやっているだけです。
演習をやるとき、私は「プログラム」という言葉を使います。「演習プログラム」です。それはなぜかというと、企業はさまざまなシナリオで演習を実施すべきで、1回や2回で済むわけではないからです。年に1回、というところもありますが十分とはいえません。そんなにのんびりやっていていいのでしょうか。演習をやるときに必ず重要な人たち全員が参加する必要はありませんが、演習をやることで重要なことを学んでそれによって組織が改善されていく必要があります。
鎌田 確かに、日本企業でもアリバイ作りの紙芝居形式の演習をよく見かけます。
鎌田 サイバーセキュリティの仕事をしていく中で、この仕事に向いている人とそうでない人がいると思いますが、どういった違いがありますか?
ジェフ 大学でサイバーセキュリティを学んできた卒業生を雇っていますが、毎年優秀になることに驚いています。彼らは本当に若いうちからこの仕事をするうえで重要な考え方を学び、吸収し、優れた能力を持っています。一方で、彼らは技術面ではとても優れているのですが、ビジネスに関する知識やソフトスキル(ライティングや会話、聞く力、プレゼンテーションなど)についてはあまり強くありません。
サイバーセキュリティではない分野での業務スキルを身に付けた人ほど、サイバーセキュリティの世界で円滑なコミュニケーションができると考えており、技術とビジネスの両側面の能力を備えた人がよりよいキャリアを築くことができるでしょう。とはいえ、大学でサイバーセキュリティを学ぶことを勧めていないわけではありません。サイバーセキュリティ以外の分野の経験も身に付けることを強く勧めたいということです。
私の場合、大学生の時に学生新聞に記事を書いたり、学内ラジオでニュースを報道したりしていました。そういった経験が、文章力とコミュニケーション能力を向上させました。
鎌田 確かに、サイバーセキュリティは技術的な問題もさることながらそうでない分野の多くの専門家もサイバーセキュリティについて語るようになりましたね。あらゆる分野の専門性が関わってくるので、1人や1社、1国で全体の問題をカバーできるわけでもないし解決できない、途方もないくらい大きなテーマです。サイバーセキュリティの専門家になりたい若い世代に何かアドバイスはありますか?
ジェフ セキュリティは技術だけの問題ではないといった通り、技術的な専門性があるのは良いことですが、それだけではトップレベルのセキュリティプロフェッショナルになることはできません。普通のセキュリティプロフェッショナルとトップレベルの人の間には4つのスキルの違いがあります。その4つとは、ビジネスの知識、コミュニケーションの能力、コラボレーションの能力、そして知的好奇心です。
鎌田 ここでいうプロフェッショナルとは一般企業でセキュリティの仕事を担う人ですよね?
ジェフ そうです。企業におけるセキュリティ担当です。天才ハッカーや技術にものすごい詳しい人ではなく、企業においてセキュリティの仕事に専従している人のことです。
鎌田 なるほど。日本だとプロフェッショナルというと専門家というイメージが強くなってしまいがちです。
ジェフ 説明に戻ります。ビジネスに関する知識は、セキュリティに関する決定がビジネスにどのように影響を与えるかということを理解するために役立ちます。セキュリティプロフェッショナルとして、最高の技術的なソリューションを導入することはできますが、もともとのセキュリティの問題が大したことがなければ、その問題以上のコストをかけたソリューションの導入は意味がありません。
私はいつもセキュリティプロフェッショナルはビジネスを学ぶべきだといっています。経営戦略はどういったものか? 会社はどうやってお金を稼いでいるのか? 経営者はどうやって意思決定しているのか?そういったことを理解すれば、セキュリティプロフェッショナルの仕事がビジネスをサポートするツールとして役立つようになるでしょう。
また、セキュリティプロフェッショナルはあらゆる技術的な話題について円滑にコミュニケーションを取れるようになるべきです。また、技術的な問題を経営者に理解できる言葉で説明できる必要もあります。企業の経営者が技術的な問題の詳細を理解できるようになることは永遠にありません。ですので、セキュリティプロフェッショナルは、コミュニケーションスキル、プレゼンテーションスキル、レポートの執筆能力が重要です。私が最も重要だと思うのはこれらのスキルです。
セキュリティプロフェッショナルを部屋に閉じ込め、ピザをドアの下から部屋にいれておけば、最終的には彼らがソリューションを開発するという考えは、もはや機能しません。ビジネス・サイクル全体にわたってセキュリティの問題を考慮する必要があるため、それを効果的に行うには、セキュリティプロフェッショナルが他の分野のプロフェッショナルたちと協力しあうことです。
最後に、サイバーセキュリティでは、多くの場合、正しい答えを導き出すのに十分な情報を最初からは持っていません。自分たちが保有するデータを常に評価し、必要な他のデータを特定し、疑問や仮説を提示し、結論を導き出さなければなりません。その方法は、警察の科学捜査に似ています。最初に思い付いた答えが最良とは限らない、ということを常に考える必要があります。
これまで説明したことを総合すると、最高のセキュリティプロフェッショナルとは、自分たちが従事しているビジネスのことをよく理解しており、セキュリティに関する決定がビジネスにどのような影響を与えるかをよりよく理解するために、ビジネス部門全体にわたって協力関係を構築し、経営者やその他の人々と適切かつ円滑なコミュニケーションをとることができ、これらのコラボレーションから得られた知識を自分たち自身の学習とともに使用して、健全な結論を引き出すことができる人です。
鎌田 複雑かつ壮大な話をありがとうございます。似たようなことは漠然と思っていましたが、自分ではここまで整理して説明できる自信がありません。ジェフは何度も来日していますが、日本の人たちとのコミュニケーションを通して何を感じましたか?
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授