「現場が分からない司令部」、「一点豪華主義的な組織の対応」“失敗の本質”から考えるサイバーセキュリティの実態

危機的状況にあるサイバーセキュリティ、勢いが止まらないWebサイト改ざん被害

　各種メディアの報道にあるように、これらの被害を受けた法人は十分にセキュリティの投資ができない中小企業だけではありません。中には官公庁や世界的に名の知れた大企業も含まれております。

『失敗の本質―日本軍の組織論的研究』

（著：戸部良一、寺本義也、鎌田伸一、

杉之尾孝生、村井友秀、野中郁次郎）中央公論社

　Webサイトが改ざんされるだけで事が終われば、まだ話が簡単なのですが、攻撃者はそのWebサイトを改ざんし、訪れた一般のユーザーがウイルスに感染するようWebサイトに細工を施すのです。何も知らないユーザーにとっては、たまったものではありません。決して自分から怪しい危険なサイトに訪れている訳ではありません。

　反対に世間的に名の知れた安全だと思われる企業、組織のWebサイトにアクセスするだけでウイルスに感染してしまい、最悪の場合、遠隔操作や情報漏えい等、二次被害に合ってしまうのです。まさに危機的状況だと思います。

　我々は、このような大きな問題に対して、どのような点を見直し、どのような対策をしなければならないのでしょうか？

　今回は約70年前の大東亜戦争の時代の日本軍の組織のあり方を分析した名著『失敗の本質』をもとに、現代のサイバー上の脅威に対して、どのように組織が戦略を立てて対応しなければならないのか考えてみたいと思います。

アンバランスな戦略――一点豪華主義的な対応をとる日本の企業、組織

　ご存じの通り、零戦が戦場に投入された当初は、その世界トップクラスの運動性能を存分に発揮し、まさに向かうところ敵なしの存在でした。あまりの優秀な性能に驚いた米軍では、零戦との１対１のドッグファイトを禁じるまででした。

　しかしその後、零戦がほぼ無傷の状態で米軍側に捕獲され徹底的に分析されると、その弱点が明らかになってしまい形勢が逆転してしまいました。その弱点とは何か、それは徹底的な軽量化のために犠牲にされた防弾性と剛性、非力なエンジン、そしてパイロットに高度な操縦技術を要求する点でした。

　現在、日本のサイバーセキュリティに関しても、同じことが言えます。抜本的なセキュリティ対策から目をそらし、一点豪華主義的な対応される企業、組織が多いと感じています。残念なことに世界の攻撃者の視点からすると、日本のこれらの企業や組織のシステムの弱点は明々白々です。

　日本では、ほとんどの場合工数のかかる端末やサーバーのセキュリティ対策は軽視され、一部分だけの投資で済むネットワークの部分に多大な投資を行います。運動性能を極限まで高めれば、防弾性は必要ないと割り切ってしまう思考と同じように思います。

　かたや米国の企業や官公庁では、端末やサーバーを最優先で強化するという考え方が広まっており、迅速なパッチ管理システム、ホスト型不正侵入防御システム、ホスト型ファイアウォール、デバイス制御、不正端末検知システム等の多層防御を実現するスイート製品の導入が進んでいます。守るべく情報資産は、所詮、端末やサーバーの中にある情報やデータ、だから最後の砦である端末やサーバーの対策に最優先で取り組むという考え方です。