経営陣の危機意識の改善、人材不足／スキルアップはどうすればいい？――セキュリティ人生相談：＠ITセキュリティセミナー2018.6-7

＠ITは、2018年7月24日、札幌で「＠ITセキュリティセミナー」を開催した。本稿では、内閣サイバーセキュリティセンターと金融ISACの講演「セキュリティ人生相談」の内容をお伝えする。

[宮田健，＠IT]

　＠ITは、2018年6〜7月に「＠ITセキュリティセミナー」を開催。7月22日の札幌会場では、基調講演で登壇した金融ISAC 専務理事／CTO 鎌田敬介氏と、内閣官房 内閣サイバーセキュリティセンター 重要インフラグループ 参事官 結城則尚氏が、来場者からの質問や相談を受けるという「セキュリティ人生相談」を開催した。

　鎌田氏、結城氏の“KYコンビ”には、「経営陣に危機感を感じてもらうには」「工場で働く人たちのセキュリティレベルを上げるには」「属人化を防ぐには」といった、普遍的な相談が来ることが多いという。

金融ISAC 専務理事／CTO 鎌田敬介氏

　鎌田氏は、まず、経営陣の危機意識を改善するためにできることとして、「標的型攻撃やマルウェア、DDoSの危険を技術的にアピールしても理解できない」という前提に立つことを指摘する。

　「経営者が理解できる世界観で説明する必要がある。そのためには、ビジネスの文脈で、サイバー攻撃者がどのような目的で攻撃を行い、その結果発生するリスクが自社にどう影響するのかを説明すべきだ」（鎌田氏）

　セキュリティ対策ができているかと聞かれると「できています」と説明するIT部門は多い。しかし、サイバー攻撃対策はうまくいっていないのが現状だ。

　「1人で何でもできる“セキュリティスーパーマン”は幻想だ。まずは『セキュリティ対策ができていない』という前提でスタートし、何ができていないのかを説明するところからスタートするとよいだろう」（鎌田氏）

内閣官房 内閣サイバーセキュリティセンター 重要インフラグループ 参事官 結城則尚氏

　結城氏はもともと、プラントの設計、運転、保守が経験のある「OT（Operational Technology）」側の人間であり、その意味では「工場でのセキュリティレベルを上げるには」という課題に親近感を覚えるという。

　「例えば、日本でWannaCryの被害がそれほど広まらなかったのは、海外と異なり、現場がラインを止める権限を持っているため、いつもと違うことが起きれば、すぐに停止できる体制だからだ。IT、OTが相互に信頼して協働するためには連携が重要。サイバー攻撃はITで防ぐ、攻撃された設備はOTで復旧するという連携が重要となる」（結城氏）

　結城氏は「コミュニケーションと属人化は別の問題」とも述べる。新しく物事を始める際には、熟知している“ベテラン”がいて、そのやり方を手本にして、みんなで検討してマニュアル化し、展開していく成功例を多く経験してきた。そのため、「属人化は悪いわけではない」という考えだ。

　「マニュアル化に関しては、自組織にあったものを作るべきで、他からのコピーなど自組織に合わないものだと、逆にマニュアルに振り回される事例も多く見られる」（結城氏）

　マニュアル作成に関して鎌田氏は「明示的な作業内容は文書化せず、スキルを文書化するという点を洗練すべきだ」とした。

何でもかんでも文書化するのは間違い、品質を保証する範囲まで、バランスを考えた文書化を

　とかくセキュリティに関しては、「人材が不足している」「スキルをどうやって磨けばいいか分からない」という悩みも多い。その点に関して鎌田氏は、「まずは情報感度を高めるべし」と指摘する。

　「公開情報を収集し、社内に伝達、そして実業務につながる形で広く社内で活用する。日本語の情報も多いが、情報収集をやっていくうちにスピード感の必要性が分かってくると、英語や多言語の情報も集めたくなる。まずは、簡単な情報収集に手を付けるところから始めるべき」（鎌田氏）

　結城氏も、この点に同意する。「何が欲しいのかが明確になれば、欲しい情報はあちこちに転がっていることに気付く。自分たちも数年間継続して、『継続は力なり』を実感している。千里の道も一歩から。頑張っていきましょう」と、セキュリティ相談を締めた。