サイバー侵害を経験した企業や公的組織の経営層やセキュリティ対策責任者などからの問い合わせの中で、サイバーレジリエンスを確保するために発想や考え方を大きく変えてほしい点は、次の通りである。
(1)どの程度の予算と人材を確保すればよいか
サイバー環境およびその変化を直視しない姿勢を改めることだ。画一的な情報システムが採用され、攻撃キャンペーンが行われている前提であれば、情報セキュリティ専門家が回答できる。しかし現在は、超標的型攻撃なので、どのような人材と予算を確保すればよいかを回答するのは困難である。
(2)経営層のセキュリティ意識を高めるにはどうしたらよいか
セキュリティ意識を高めれば、意思決定などの適切な行動をするというのは妄想だということ。本気で経営層の意識を変えたい場合、行動変容技法(COM-Bモデル)を参考にするといい。また、経営を理解した外部のセキュリティ専門家に依頼し、段階的に意識を変える、やさしい圧力をかけることは有効である。
(3)最新のサイバー脅威を把握するにはどうしたらよいか
新着情報や防災情報と同様な一過性のセキュリティ情報ばかりを追求する姿勢は改めることだ。もっとも重要なのは、ストーリーである。サイバー攻撃は人間によって行われ、その人間には癖や慣習がある。彼らは一度成功すると、無意識に繰り返すため、そのストーリーを理解することが重要となる。
(4)自社のセキュリティレベルは競合他社に比べてどうか
変えてほしいポイントは、同調圧力や横並び精神をやめることだ。自分がやるべきことをやるためには、同業界内での横の争いではなく、目の前の脅威者、またはサイバー脅威を見て、それに適合する防御レベルに上げることだ。
(5)どのソリューションを導入するのがよいか
詰め込み教育による情報処理力偏重/正解主義偏重をやめることだ。多様化した脅威により企業ごとに発生するリスクは異なる。誰かに聞けば、どこかに正解があるはずだと思っているかもしれないが、正解は1つではなく、ソリューションに優劣をつけるのは困難である。
セキュリティのさまざまな問題、自社内で発生する事象、インターネットやメディア、SNSの情報については、氷山の一角であり、氷山の見えている領域だ。この領域は、直接的に管理、対処ができるが、これで満足してはいけない。心構えとして大切なのは、氷山の見えない領域が大きいということ。見えない領域を識別、特定し、間接的に管理、対処する仕組みを作り、ログを記録し保存して分析する努力をすることだ。
もっとも伝えたいのは、ビジビリティ(可視性)の喪失である。内部を拠点としたサイバー攻撃の多くが、相手にばれないように活動する。そこで攻撃者にとって、活動しにくい状況、すなわちビジビリティのある状況を作ることが重要。今後は、見えない領域がますます大きくなっていることに注目した対応が必要である。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授