日本のセキュリティ意識は向上している?
PwCの調査によると、日本において、セキュリティ意識向上トレーニングプログラムの実施率が2017年から急増している。グローバルの実施率は近年ほぼ50%強で横ばいが続く。一方、日本は2016年までグローバルと足並みを揃えていたにも関わらず、2017年には突然70%近くまで伸びた。2018年は引き続き伸びて72.2%となり、グローバルと比較すると20ポイントも上回っている。一般的に日本は海外と比較したら「セキュリティへの意識が低い」と見なされてきたが、急速に変わりつつある。
トレーニングは一度やればいいというものではない。継続が大事だ。より高度なものに挑戦したり、より新しい攻撃に対応したり、繰り返すことで意識や判断力が高まってくる。PwCによると、現状では日本で実施されるプログラムの多くが研修型だそうだ。今後はより実践的なプログラムへと発展させて、インシデント対応力を強化することが求められる。
インシデントが起きた時、理想としては、現場や担当者が正しく検知し、正しく判断し、正しく指示が出せれば鎮火に向かう。しかし実際は難しい。検知できず、判断を誤り、指示が出せず……ずるずる進むとインシデントはより大きな被害へと拡大していく。検知力や対応力を鍛えていく必要がある。
先日、PwCは記者向けにインシデントレスポンス能力向上を目的とした机上演習の体験会を実施した。参加者となる記者たちは2~3人組でチームを組み、起きたとされるインシデントに対して、何をすべきか話し合い、他のチームと共有する。
机上演習をファシリテートしたPwCサイバーサービス合同会社 最高技術顧問 名和利男氏
演習を主導するPwCサイバーサービス合同会社 最高技術顧問 名和利男氏は最初に「これはみなさんの知識を問うものではありません。レスポンスに正解はありません」と念を押した。重要なのは自分の頭で模索すること、チームで考えを共有することで自分とは違う視点があることなどを学ぶことだという。名和氏は「全体を俯瞰した視点を持つことを強く推奨します」とアドバイスした。
