42カ国放浪して分かった、日本人的思考の脆弱性:サイバーセキュリティマネジメント海外放浪記(1/2 ページ)
18年間、海外出張という形で42カ国を訪問し、渡航回数では150回を越えているが、そのたびに、日本におけるセキュリティマネジメントに関する課題を実感する。国外の人と議論して得られた経験とは。
この度、Armorisを9月からスタートしました。当社はサイバーセキュリティの人材育成という観点に特化した活動をおこなっていますが、われわれのこれまでのサイバーセキュリティへの取組の中で、組織作りを支える人材が、より根本的なアプローチで知識と経験を得られる場を作ろうというコンセプトで活動しています。このセキュリティ人材育成のアプローチを考える上では、国内のみならず、海外(主に欧米・アジア圏)でのサイバーセキュリティに関する知見や取組を参考にしています。
この背景として、私はこれまで18年間、サイバーセキュリティのキャリアの中で海外での活動にも力を入れており、海外出張という形で42カ国を訪問し、渡航回数では150回を越えています。その中ではサイバーセキュリティのプロジェクトへの参画、国際会議への出席、カンファレンスでの講演やトレーニング活動などさまざまな活動を行ってきましたが、そのたびに、日本におけるセキュリティマネジメントに関する課題を実感します。本稿では、主に国外の人と議論して得られた経験から、いくつかの話題をピックアップし、読者の皆さんに共有したいと思います。
1、オーストラリア:変化しないことこそリスク
いまから1年ほど前になりますが、海外のカンファレンスでオーストラリアの政府機関の方とサイバーセキュリティの問題について議論していたときに、彼らのサイバー攻撃事案への対応経験を話してくれました。政府系の重要なWebサイトが、DDoS攻撃によって閲覧できない状態になり、国内で大きな問題になったという事象です。まず攻撃が発生、サイトが閲覧できないという情報が外部から入りセキュリティベンダーと協力して原因を調査、DDoS攻撃の内容や攻撃元の情報などを特定し対応を進めながら、幹部へ報告し対応方針を仰ぎ、対外的な広報としてTwitterを用いて実施、技術的な対応と並行して政府の上層部への報告など組織内外への情報連携に相当力を入れていた様子を生々しく語ってくれました。
まず、「経営幹部とのコミュニケーションをどのように円滑に行ったか」と聞いてみました。彼が言うには経営幹部は、ITやセキュリティに関する基本的なリテラシを皆が持っておりDDoS攻撃による影響や事案が起きたときに危機対応の観点で動くことが必要なのはよく分かっているため、発生事象を報告すれば組織的にどう対応すべきかの方針をすぐに出してくれたそうです。その当該政府機関は、ITを中核に据えた業務改革を行っている真っ最中で、組織全体を変革していこうという強い意志を持っているためITやセキュリティに対する経営幹部の理解はかなり深いと言っていました。
その次に私が質問したのは「ITやセキュリティに関する理解が深いのはとてもいいことだが、そもそも組織的な動き、例えばIT部門以外との連携や対外広報の考え方、予算の割り当てなど日常的な組織管理の姿勢がにじみ出てくるのがサイバーセキュリティマネジメントではないか?」と聞いたところ、「確かに組織管理の要素は強い(英語ではGeneral Corporate Managementと表現していました)。重要なのは組織にとって必要な目的のために組織や人間の変化を恐れないことではないか」という答えが返ってきました。
彼の組織では、「変化しないことこそリスクである」という考え方が組織的に浸透しており、経営幹部も現場スタッフも時代の変化に合わせて自分たちが変化し続けることが重要だという意識が根付いているそうです。そんな彼らでも、ITを中核に据えた変革(いわゆるデジタルトランスフォーメーション)は、組織の存続を賭けたイチかバチかのプロジェクトであり、自分たちの未来を楽観的には捉えていませんでした。
対して典型的な日本企業はどうでしょう。掛け声のごとく「デジタルトランスフォーメーション」を連呼しているものの、チーフデジタルトランスフォーメーションオフィサーと名のつく役員の発言が技術的にはめちゃくちゃである、という場面によく出くわします。技術を分かっている現場の人たちは冷ややかな目で見ています。この、オーストラリアの幹部が危機感をあらわに自組織の課題と真剣に向き合っている姿勢を目の当たりにすると、大きな差を感じてしまいます。
ちなみに、その経営幹部とはSNSでつながっており、お互いの日常的な活動をシェアしています。
2、米国:現場から経営層へ、都合の悪い情報がサクサクあがる
次は、米国の某大手セキュリティベンダーの役員と議論していたときのことです。彼は米国企業のサイバーセキュリティの問題に30年近く取り組んできた超ベテランで、しばしば来日しており、日本企業のセキュリティ体制の状況にもある程度詳しい人物です。来日するたびに私も最近の話題について議論させてもらっています。先日彼が来日したときに「日米企業におけるセキュリティマネジメントの最大の違いを1つ挙げるとしたらそれは何か?」と聞いてみました。そこで返ってきた答えは「セキュリティに関する悪い情報の扱われ方が決定的に(英語ではcultural differenceと言っていました)違う」というものでした。
これがどういう意味か詳しく聞いてみました。議論の経緯はさておき、彼の言いたかったことを説明します。
まず「セキュリティに関する悪い情報」とは、例えば以下のようなものです
- 脆弱性対策が十分でなくサイバー攻撃を受けて実害が出てしまった
- セキュリティ対策ができていると思っていたが実は穴が残っていた
- セキュリティ対策製品を導入したが検知・遮断が正常に機能せず被害がでてしまった
例としてもっとさまざまなパターンがありますが、要するに都合の悪いタイプの情報、つまり現場としては経営層に報告するのに後ろめたい気持ちになるような種類の情報ということです。日本ではそのような情報を経営層にあげる場合マイナスの思考が働き、事実とはちょっと遠い位置にあるような報告の仕方をしたりお場合によって自分たちがトラブルに巻き込まれるリスクを強く感じれば隠そうとしたりする、と言っていました。米国企業でのそういった情報の扱われ方とは対極に位置する(あくまで彼の経験上)ということで、企業や組織の上層部がセキュリティに関するネガティブな情報をどのように扱うかの姿勢が根本的に異なるのではないかという指摘でした。
Copyright © ITmedia, Inc. All Rights Reserved.