サイバー侵害が発生して当然ともいえる状況では発想や考え方を変えることが重要――サイバーディフェンス研究所 名和利男氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

重要なシステムを安全に管理、利用するために、多くの企業で「境界防御」が徹底されてきた。しかし「組織の内部」を起点にしたサイバー侵害は、境界防御では防ぐことが難しい。

[山下竜大，ITmedia]

サイバーレジリエンスを確保するために発想や考え方を変える

　サイバー侵害を経験した企業や公的組織の経営層やセキュリティ対策責任者などからの問い合わせの中で、サイバーレジリエンスを確保するために発想や考え方を大きく変えてほしい点は、次の通りである。

（1）どの程度の予算と人材を確保すればよいか

　サイバー環境およびその変化を直視しない姿勢を改めることだ。画一的な情報システムが採用され、攻撃キャンペーンが行われている前提であれば、情報セキュリティ専門家が回答できる。しかし現在は、超標的型攻撃なので、どのような人材と予算を確保すればよいかを回答するのは困難である。

（2）経営層のセキュリティ意識を高めるにはどうしたらよいか

　セキュリティ意識を高めれば、意思決定などの適切な行動をするというのは妄想だということ。本気で経営層の意識を変えたい場合、行動変容技法（COM-Bモデル）を参考にするといい。また、経営を理解した外部のセキュリティ専門家に依頼し、段階的に意識を変える、やさしい圧力をかけることは有効である。

（3）最新のサイバー脅威を把握するにはどうしたらよいか

　新着情報や防災情報と同様な一過性のセキュリティ情報ばかりを追求する姿勢は改めることだ。もっとも重要なのは、ストーリーである。サイバー攻撃は人間によって行われ、その人間には癖や慣習がある。彼らは一度成功すると、無意識に繰り返すため、そのストーリーを理解することが重要となる。

（4）自社のセキュリティレベルは競合他社に比べてどうか

　変えてほしいポイントは、同調圧力や横並び精神をやめることだ。自分がやるべきことをやるためには、同業界内での横の争いではなく、目の前の脅威者、またはサイバー脅威を見て、それに適合する防御レベルに上げることだ。

（5）どのソリューションを導入するのがよいか

　詰め込み教育による情報処理力偏重／正解主義偏重をやめることだ。多様化した脅威により企業ごとに発生するリスクは異なる。誰かに聞けば、どこかに正解があるはずだと思っているかもしれないが、正解は1つではなく、ソリューションに優劣をつけるのは困難である。

攻撃者が活動しにくいビジビリティのある状況を作る

　セキュリティのさまざまな問題、自社内で発生する事象、インターネットやメディア、SNSの情報については、氷山の一角であり、氷山の見えている領域だ。この領域は、直接的に管理、対処ができるが、これで満足してはいけない。心構えとして大切なのは、氷山の見えない領域が大きいということ。見えない領域を識別、特定し、間接的に管理、対処する仕組みを作り、ログを記録し保存して分析する努力をすることだ。

　もっとも伝えたいのは、ビジビリティ（可視性）の喪失である。内部を拠点としたサイバー攻撃の多くが、相手にばれないように活動する。そこで攻撃者にとって、活動しにくい状況、すなわちビジビリティのある状況を作ることが重要。今後は、見えない領域がますます大きくなっていることに注目した対応が必要である。