迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
きちんと自分で考えた上でセキュリティ対策を実施していくことが大事だ。では「具体的にどうすべきか」を自分で考えるための6つのアプローチとは。
「具体的にどうすべきか」を自分で考えるための6つのアプローチ
繰り返しになるが、ガイドラインはあくまで概要を示すだけに過ぎない。何も考えず、書いてある通りにやればいいというものではなく、具体的にどうすべきかは自分で考える必要がある。
「例えばガイドラインに『毎日運動しなさい』と書いてあったとしても、どういう運動を何分くらいやるべきなのか、具体的にどうするかは、自分で調べ、考えて実行しなければなりません」(鎌田氏)
確かに多くの人が「ガイドラインの表現は曖昧で、具体的にどこまでやればいいのかが不明瞭だ」とこぼすが、それはある意味やむを得ないことだ。企業や組織によって状況やリスクが異なる以上、「どこまでやるか」は、結局自分で考えて決めなければならない。
では、どうすれば自分なりに考えていくことができるのだろうか。鎌田氏は今回の講演をきっかけに、生成AIなども活用して自問自答を重ねながら、「自分で考えるためのアプローチ」として、以下の6つを導き出したという。
1、常に「なぜ?」を考える
2、目的・目標を明確にする
3、情報収集を積極的に行う
4、複数の選択肢を考える
5、周囲とのコミュニケーションを大切にする
6、外部リソースに頼りすぎない
1つ目の「常に“なぜ?”を考える」ことの重要性は、冒頭に紹介したFTPを巡る議論が示した通りだ。多くの人が「思い込み」にとらわれて、「これは危ない」だけで話を終えてしまい、それはなぜなのか、きちんと暗号化するなど代替案を組み合わせればリスクは取り除けるのではないか――という検討にまで至らない場面は、FTPに限らずセキュリティ分野ではあちこちに見られるという。
「表面的な理解だけで満足せず、問題の根本を理解することが大事です」(鎌田氏)
2つ目の「目的・目標を明確にする」というのは、「手段を目的にしない」というのとほぼ同義だ。サイバーセキュリティの世界では、例えば「演習が必要だ」と言われると、演習を実施すること自体が目的になってしまい、「何を目的に演習をするのか」が不明瞭になってしまうケースが少なくない。
そうではなく、常に目的や目標を明確しながら取り組むことが非常に重要なポイントとなる。その際、目的に到達するまでには複数の選択肢があること、そしてITの観点だけでなくビジネス的な視点、ひいては業界や国家といった立ち位置を考慮することも大切である。
また、目的や目標というと「数値化」が求められがちだが、セキュリティの投資対効果を数値化してうまくいった例を見聞きしたことはあまりなく、数字にとらわれすぎないことも重要なポイントだ。
3つ目の「情報収集を積極的に行う」ことは、セキュリティに限らずビジネス全般で重要なことといえるだろう。「“敵を知り己を知れば”といわれる通り、世の中の状況を知り、自社についても知ることで異なる視点や新たな知識を得ることができます」(鎌田氏)
そのために、インターネットでも書籍でも、できるところから情報を見ていくことが重要だ。ただしその際には、フェイクニュースやディスインフォメーションも存在することを認識し、得た情報を100%うのみにしない姿勢も求められる。また、クリティカルな情報の真偽を確認できる専門家など、信頼できる確認手段を確立しておくこともポイントとなる。
4つ目は、一つの方法に固執するのではなく、メリットとデメリットを踏まえて比較し、総合的に考えることが重要だ。そのためには、5つ目に挙げられた、いろいろな人とコミュニケーションを取って意見を聞いていくことが不可欠となる。
ただ最後の6つ目のポイントに示した通り、外部の意見に頼り過ぎるのも考えものだ。専門家の意見や参考資料は重要だが、専門家だって間違えることもあれば、自社の状況を理解しているわけでもないからだ。
「自ら情報を集め、自分で考え、どうするかを決めていくプロセス自体が、いわゆるクリティカルシンキング、問題解決能力を身に付ける上で重要なポイントになってくるでしょう」(鎌田氏)
最後に鎌田氏は、サイバーセキュリティは広く、深い問題になってきており、その中ではやはり考えることがいっそう重要になっていると訴えた。
「考えるには理解が必要であり、理解するには知識と経験が必要で、知識を得るには学びが必要です。学ぶには時間と環境が必要ですが、やる気や楽しさといった要素も重要かもしれません」(鎌田氏)。そして、けっして楽な道ではないが、常に疑問を抱き、考えながら、オープンにディスカッションを積み重ねて思考能力を高めてほしいと呼びかけた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 予防は治療に勝る「プロセスのゼロトラスト化」を軸に多面的な取り組みを展開――全日本空輸 和田昭弘氏
- デジタルアイデンティティこそがデジタル覇権の行方を左右する――東京デジタルアイディアーズ崎村夏彦氏
- 経営層と現場の間に横たわるギャップ解消のために心がけたい3つのポイント ――Armoris 取締役専務 CTO 鎌田敬介氏
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- サイバーセキュリティだけ「特別扱い」には無理がある――経営を脅かすリスクの1つと位置付け、メリハリのある対策を
- 情報漏洩にとどまらず、ビジネスリスクの観点でのサイバー攻撃対策を実践―― サプライチェーン全体を視野に取り組む凸版印刷
- 世界は変わった? 変わらない? 変化の中で引き続き求められるバランスの取れたセキュリティ対策
- サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から