SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Column

名和利男氏が語る、日本のサイバーセキュリティ環境が抱える病 組織の変化には、震災級の犠牲が必要なのか

【後編】あるべき日本のサイバーレジリエンス像


 前回の記事では、サイバーディフェンス研究所の名和利男氏に、サイバー演習の意義と日本を取り巻くセキュリティ情勢について取材。するとインタビューをする中で、日本のサイバーセキュリティ環境における問題も同時に見えてきた。官民の組織に孕む、その課題とは何か。ウクライナ情勢だけでなく、東日本大震災などの災害を教訓とした「レジリエンス」という観点から、話を伺った。

日本にない発想 人材供給源は「公的機関」

──サイバーセキュリティの運用を行うにあたって、今後日本はセキュリティ対策を内製化していくべきなのか。それとも海外の企業も含めてある程度委託せざるを得ないのか。このバランスというのはどう取るべきでしょうか。

 まず、諸外国のサイバーセキュリティ企業において先進的な技術をともなったサービスやプロダクトが充実していたり、サイバー演習といったサービスを提供できているのは、そこに所属する人々が高いレベルの教育訓練を受け、かつ国家機関の情報運用に関わった人材が影響しています。

 国家機関で様々な実務を経験し、一定期間後にスピンオフして民間企業(大企業からベンチャー企業まで)が受け皿となっている状況があるのです。

 また採用に当たっては、その人物の価値(給料)は人材市場によって決定されています。個社別の人事担当の方が給料を決めるわけではないそうです。その仕組みがあるため、内製できる所と、足りない所はその差分に相当する所を外部に委託する。海外では、そうしたバランスが良くとれていると感じます。

 ですが日本では、その経済規模と比較して、そもそもセキュリティ人材が非常に少ないです。ということはバランスどころか、育成するにしてもサイバーセキュリティに関心をもってもらうところから始めなければなりません。そのため、当面の間、日本の企業は試行錯誤の状態が続き、実現するまでは、セキュリティ対策の多くを外部に委託せざるを得ない流れになるのではないかと予想しています。

セキュリティ環境の変化には、震災級の犠牲が必要

──そのような話を聞くと、自衛官のように有事のオペレーションを想定し、何百何千のメンバーを動かせる人材というのは貴重であると感じます。サイバー演習やインシデント対応は、本来そういった人的資源が必要不可欠であると感じますが、やはり日本ではあまり注目されないのでしょうか。

 そうですね。日本では、何事も民間の仕組みで何とかできると思い込んでいるところがあります。ですから、いざという時にはたった一人のリーダーの下、多くの部下を使って組織全体を動かす必要性を、現状の日本の組織からはあまり感じられません。そういった部分に、「日本の組織は、サイバーセキュリティ人材を採用するモチベーションがない」という印象を個人的には抱いています。

 そもそも、必要だと認知されていない上に、認知されるような下地もないというのが現状です。2011年に東日本大震災が発生した時には、大企業、特に金融や交通分野については一部の役員の方がもの凄いリーダーシップを発揮して、自衛隊規模でないにせよ素晴らしいオペレーションを行っていました。

 ただ、それも最初からできたわけではないようです。震災が起きて以来、数ヵ月間、ずっと実践的なOJTを自分で自分に課していたような形でした。つまり、自分が行ったことの良否を逐次改善していたのです。

 その下地は、東日本大震災の地震や津波による深刻な被害に対する周囲の理解です。サイバー空間で同様のことができるとした場合、内閣法第15条にある「国民の生命身体財産に重大深刻な被害が発生する」大規模サイバー攻撃により深刻な被害が発生して初めて、必要な知識体系が構築されていくのではないかと考えています。

 物事を変えていくには、特に日本の場合は犠牲が必要だと言われています。なぜなら、米国も相当な被害を払って今の仕組みを作っているからです。

 昨年起きた米国最大規模の石油パイプラインに対するランサムウェア攻撃や、それに続くインフラへの深刻な影響を与えた複数のサイバー攻撃の発生を受けて、ホワイトハウスが強いリーダーシップをとって国家レベルの取り組みを整えつつあります。

 たとえば、重要インフラの所有者や管理者に対して、サイバー攻撃を受けてから一定時間内に、サイバーセキュリティー・インフラセキュリティー庁(CISA)に報告することを求める取り決めなどです。

 もっとも、米情報機関は十数年前からそのリスクに気づき、何回も公聴会で指摘し、様々な努力をしてきました。しかし、そうした米国の情報機関でさえも「変わるには犠牲が必要だった」と述べています。

次のページ
組織に必要なマインドセット

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Column連載記事一覧

もっと読む

この記事の著者

西隅 秀人(編集部)(ニシズミ ヒデト)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16126 2022/07/08 09:52

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング