年明け東南アジアで見た、自律的に学び続ける組織に不可欠なもの:サイバーセキュリティマネジメント海外放浪記(1/2 ページ)
重要なのは、自分たちで考えられる能力をいかに短時間で、組織的に身につけてもらえるか。
いよいよ2020年の到来
2020年になりました。サイバーセキュリティのさまざまな取り組みの中には、東京オリンピック・パラリンピックを目指して推進されてきたものが多々あるかと思います。本番が近づくにつれて、大会運営中どんなことが起きそうか議論する場に参加する機会も増えています。そこに参加する人たちは、セキュリティやITの仕事をしている人たちばかりでなく、一般的な業務部門や、監査部門、法務部門など多岐にわたっており、「サイバーセキュリティは経営課題」という考え方が広く浸透してきていることの現れなのかもしれません。私も海外に行った際には、過去のオリンピックや各種ワールドカップ、そしてスポーツに限らず大規模イベントにおいてどのようなサイバー攻撃があったか、現地の当事者から話を聞いてくるように意識しています。
さて、私自身の印象ですが、最近のサイバー攻撃の傾向を見ると、攻撃側の工夫にも広がりが出てきていることを感じます。技術的な進化よりは、攻撃対象となる企業の業務プロセスをよく分析した上で攻撃シナリオを組み立てている様子が見られたり、サプライチェーンの周辺から攻めていたり、サイバーだけでなく物理世界での活動もセットで考えられていたり、といった具合です。2020年はそれらがさらに進化するだろうと予想していますが、これまで以上に、技術だけでなく全方位を意識したサイバーセキュリティへの取り組みが必要になるでしょう。
サイバー攻撃の技術的なトレンドを追いかけるにはそれなりのモチベーションと技術的な知識や経験も必要ですが、技術的な枠の外側にあるさまざまな情勢も含めて情報収集と分析が必要です。インテリジェンスという言葉が一時はやりましたが、技術的な視点に特化しない中長期的な視点でのインテリジェンス(いわゆる情報機関のインテリジェンスオフィサーの視点)がより必要になってくるかもしれません。情報機関出身のサイバーセキュリティのインテリジェンスアナリストと会話をすると、彼らが注目しているのは攻撃に使われるツールやマルウエアなどの技術的な要素ではなく、むしろ攻撃者のモチベーションや国際動向、政治動向などを多角的に捉えて分析していることが分かります。そういった情報機関の分析官向けの情報分析の書籍に目を通すと、本当にさまざまな視点をもって情報を扱っていることが分かります。特に印象に残っているのは、「いかに主観的な立場から脱却するか」が何度も強調されていたことでした。
日本の良いところ?
この連載を始めてから、「内容に共感しました。うちの会社もまったくその通りで……」といったようなコメントがあちこちからくるようになりました。日本のダメなところを強調しすぎているように見えますが、グローバルで比較して日本の良いところもたくさんあります。
例えば、世界中の国々と比較して東京のすごいところはどんなところか。土日でも深夜でもコンビニエンスストアや飲食店が開いており、休日も小売店が開いていて必要なものは簡単に手に入るし、宅配便も優秀で、頼んだ物がすぐに届く、公共交通機関が発達している。こんなに便利な都市はなかなかありません。海外の友人たちに日本の魅力を聞くと、おいしい食事、世界中の料理が食べられる、買い物が便利で観光地も豊富、どこにいってもきれい、電車などの公共交通機関が充実しており、時刻が正確、人が親切なことなどが挙がります。東京に住んでいると当たり前のことが、海外の人からは魅力的に映るということがよく分かります。
一般の生活範囲ではなく、企業活動で考えたときにも、内部犯行を心配している大企業はほとんどなく、社員を信頼しています(今まではそれで良かったが、これからもそれでいいのかどうかは考える必要がありそうですが)。海外の企業幹部とサイバーセキュリティの議論をすると、内部犯行に対する向き合い方が話題に出ることが多くあります。今後の日本企業の課題は、昔ながらの日本の良いところをかたくなに続けることがプラスになるのか微妙な中で、どうすべきかというところだと思います。
今年初めての海外出張
先日、今年になって最初の海外出張で東南アジアの某国に行ってきました。今回はこの訪問について少し詳しく紹介します。
私の国際仕事の師匠と呼べる人の一人に黒田さん(59歳)という人がいまして「来年の3月でおれも還暦だ」とよく言っています。彼は20代前半から国際仕事ばかりをしています。主にODAの分野での活動が中心ですが、本人が所属している企業の性質やミッションに捕らわれず、世の中のためになると自身が思う活動を続けているような人です。2008年にカンボジアで一緒に働いてから、さまざまな彼の国際プロジェクトに協力する機会をもらっています。
今回の訪問も彼が担っているさまざまなプロジェクトの一部で、サイバーセキュリティのワークショップを開いてほしいというものでした。気になるお相手は東南アジアのとある政府機関。これまでITを中心にした業務環境ではなかったところ、昨今の情勢から、業務もサービスも一気にIT化が進んだという背景を持っています。その国では政府機関のWebサイトが改ざんされるようなサイバー攻撃が頻繁に起きています(ちなみに、Web改ざんの原因の多くは単純な脆弱性管理の不備であることが多いようです)。
彼らの中でセキュリティに詳しい人はもちろんおらず、どこから手を付けてよいかも分からない。どんなリスクや脅威が潜んでいるかも分からないといった状況です。ワークショップの依頼はIT部門の部門長Mさんからのものでしたが、実際により高い問題意識をもっているのは業務部門の長を担い、COOに相当するAさんでした。ITもセキュリティもよく分からないが、IT化をすすめるにあたり、やはりセキュリティが気になるということです。
まず、このワークショップのアレンジ段階の話題を少し紹介します。ワークショップの日程が決まったあと、何時スタートなのか、メインの幹部の他にどういう人が何人くらい参加するのか、どういうトピックを含めてほしいか、などさまざまな質問を投げかけましたが全く返事がありません。出張の手配は完了しているので行かないわけにもいきません。現地に到着してから「明日は8時半スタートでいいか?」と改めて連絡すると、Mさんから「オッケー」とくる感じです。一応私個人の情報収集活動として、対象の政府機関のことをよく知っていそうな知り合いに聞くことで彼らの状況を把握して資料やコンテンツを準備しておきました。
Copyright © ITmedia, Inc. All Rights Reserved.