JNSA「セキュリティしんだん」

（29）サイバーセキュリティ界隈でよくある誤解（2021年5月10日）

株式会社Armoris　取締役専務 / CTO　鎌田敬介

皆様こんにちは。株式会社Armorisの鎌田と申します。今回はJNSAさんのサイトで以下の拙筆記事のエッセンスをご紹介させていただく機会を頂戴しまして、ありがとうございます。

【拙筆記事】米国世界最古のCSIRTで学んだこと　情報共有はゴールではない、共有すべきは……（前編）：サイバーセキュリティマネジメント海外放浪記（1/2 ページ） - ITmedia エグゼクティブ https://mag.executive.itmedia.co.jp/executive/articles/2103/08/news015.html

いざというときに意思決定できるのが経営者（後編）：サイバーセキュリティマネジメント海外放浪記（1/2 ページ） - ITmedia エグゼクティブ https://mag.executive.itmedia.co.jp/executive/articles/2103/09/news010.html

さて、早速ですが、記事自体は一度皆様も通してお読み頂ければ有難いのですが、記事は私の旧知の友人であるジェフとの対話形式になっており、そのジェフの発言がほとんどとなっているため、このページでは私なりの解釈に基づいてサイバーセキュリティにおける重要な要素やよくある誤解について解説をさせていただこうと思います。

1. サイバーセキュリティでは技術は２番目である

私自身、サイバーセキュリティをテーマにしたセミナーに講師として登壇する機会が最近特に増えています。こうしたセミナーの参加者は直接セキュリティにかかわる技術者のみならず、経営者あるいは経営企画、法務、広報、監査などの非IT部門、さらには事業部門など多岐にわたっています。そのなかで、そういった非IT部門のセミナー参加者の方々からよく伺うこととして、「サイバーセキュリティの話を聞いてもよくわからない」「技術のことがわからなければだめなんだろうか」「我々幹部が今更技術を勉強するのは無理だと考えているが、最低限どの程度のことを知っておくべきか」というようなコメントがあります。そのため私のセミナーでは、「サイバー攻撃によって企業が受ける被害は何か」「攻撃者はどういう者で何が目的なのか」「攻撃者は具体的に何をしているのか」といったことについて、技術的な要素を完全に排除して説明するようにしています。それはなぜか。簡単に言ってしまえば、サイバー攻撃によって事業継続に影響があること、攻撃者は犯罪者、国家の情報機関、テロリストなどであること、攻撃者は目的を達成するためにサイバー空間のみならず、あの手この手を尽くしてターゲットにアプローチしてくることをお伝えしています。こうすることで非IT部門の方々にも「ようやくサイバーセキュリティの重要性がわかった」と言って頂けることが多くなる反面、IT部門から参加されている方には「話が具体的ではなく役に立たない」といったコメントを頂くこともあります。同じコンテンツを聞いていたにもかかわらず、このように受け取り方が違うのです。まさに、ITやセキュリティに従事されている方と、そうでない方のあいだの認識のギャップが浮き彫りになっています。

サイバーセキュリティは何のためにやるのかというと、企業経営の観点においてはリスク管理や危機管理のためにやるものです。最終的には、サイバーセキュリティ対策の多くは「ITの技術的な作業」になりますが、どのシステムやサービスに何をするのか、ということを決めるためには、企業にとってのビジネス上の優先順位や経営戦略、重要な情報は何か、それがどこにあるのか、誰が狙っていそうかといったことを考える必要があります。企業のセキュリティ対策でよくある望ましくない例としては、セキュリティをガチガチにしてしまって使いにくいIT環境になってしまっている、というものです。これでは本来ITがもたらすべき利便性を享受することができず、むしろアナログワールドに戻った方がいいんじゃないかと言う声が聞かれるくらいの状態です。しかし昨今の世の中の事情からすると、アナログの世界に戻るのは原始時代に戻るようなものですから、企業としての競争力を失ってしまうでしょう。

サイバーセキュリティをビジネスの目線で理解して頂くために、私は以下のような一連の流れを意識して説明するようにしています。

A 「マルウエアの感染」というサイバーセキュリティ目線の事象
B　IT/システム管理の目線だと、これは「不正なプログラムの動作」であり
C　更にこれをビジネス目線で見ると「企業情報の漏えい」や「事業活動の停止」に繋がり
D　最終的には経営レベルで「コンプライアンス違反」「事業継続への影響」「金銭的被害」に繋がる

上記のようなサイバーセキュリティの用語が、最終的に経営の観点でどういう問題に繋がるかといった「繋がり」の部分が重要だと思います。様々な企業のセキュリティ担当者が経営者にAを説明してしまって、発生している事象を理解されないということがあります。やはり、説明すべきはAからDへの流れです。いかにビジネス目線でサイバーセキュリティを見ることが出来るか、説明できるかということが重要になります。

2. 情報共有はゴールではない

サイバーセキュリティにおける必要な施策として、よく話題に上がるのが情報共有です。情報共有が重要だ、といっている人たちの多くは実際に自分自身が情報共有コミュニティに、「情報を提供する立場」で参加したことのない人がほとんど、という印象があります。アクティブに情報共有が行われているコミュニティで、コミュニティを主導的にドライブしている人たちの多くは「情報共有は手段である」ということを分かっていますし、目的は「コミュニティ全体のセキュリティに寄与すること」であり、「実際に自分たちがやっているのは情報の共有ではなく、リソースの共有」ということを説明してくれます。私が金融機関で勤めていた2012年頃の話になりますが、米国のFS-ISAC（日本の金融ISACの連携先である米国発の組織で、現在はグローバルに会員が約7000社います）の中核メンバーたちと話をしたときも、皆が口を揃えてそう言っていました。

情報共有コミュニティは、情報を共有することそのものがメインの活動というわけではなく、情報を共有することで他社の情報収集のコストを下げることや、自らが情報発信者になることでさらなる情報の集約が期待できること、参加者で一緒になって考えること、単独で実施するよりも複数社で協力して実施する方がよりよい成果が得られる演習を行うこと、など様々な課題に対して協力して向き合おうという姿勢が全体的な活動の基盤になっています。

「リソース共有とはなにをすればいいのでしょうか？うちには皆さんの役に立てるようなものはなにもありません」という方も多くいますが、コミュニティのために提供できるリソースであれば何でも良いのです、という話を良くします。例えば、会合のために会議室を貸してくれるということでもいいですし、参加者のとりまとめをしてくれる、参加者間の親睦のための宴会会場を選定して予約して幹事をしてくれる（早くコロナ制限が解けることを願っている人がたくさんいらっしゃるとも思います）、といった一見サイバーセキュリティとは直接関係が無いように思えることでも、リソース共有としてコミュニティに貢献していただいていることになるのです。そして、「そういったことであればうちにもできます」といって様々なメンバーから様々なリソースが提供されるようになってくればコミュニティとしての活性度が上がってきます。情報共有は目的ではなく手段であること、情報共有の目的はコミュニティの全体目的の達成である、ということを改めて良く理解することが大切だと思います。

3. 技術に詳しいからサイバーセキュリティの仕事に向いているとは限らない

サイバーセキュリティの仕事をするには技術的な知識や経験が必要だろう、と思われる方が多いですが、実際に企業でサイバーセキュリティの仕事に従事すると技術的なことよりも、リスク管理、ガバナンス、コンプライアンス、危機管理、といった技術から離れた内容の方が多いことに気づきます。もちろん、それらの課題を整理・解決していく中で技術的な知識が必要な場面はありますが、技術的な知識や経験のみでは社内外のステークホルダーにサイバーセキュリティの課題を上手に伝えることはできませんし、課題解決策もいわゆる教科書的で実務的ではないものになってしまいがちです。では、どのような知識や経験が必要なのでしょうか。以下の文献を参照すると、CSIRTの要員に必要とされるスキルについて説明されています。

Skills Needed When Staffing Your CSIRT
https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=485683

この文書では、基礎スキルとして人間力（原文ではPersonal Skillsとなっています）と技術スキルについて言及されており、何よりも先に人間力について説明されているのです。その理由は、CSIRT要員の仕事の中心は様々な相手とのコミュニケーションが中心になるから、とされています。また、コミュニケーションをする相手の技術レベルは様々である、ということについても言及されています。そのため、重要なコミュニケーションスキルである、文書執筆能力、口頭でのやりとりについて書かれており、次にプレゼンテーションスキルの必要性が説明されています。その後に、Diplomacyーつまり日常的にやりとりをする様々な相手の立ち位置を理解し、交渉する能力も必要だとされています。そのほかにも、組織のポリシーや手順に則って作業をすることや、チームで仕事をすること、Integrityとして情報の取り扱いを適正に行うこと、正確な情報を伝えると言うことに最大限の注意を払う必要があること、自分の限界を理解して頑張りすぎないこと、ストレスと上手に向き合うことなどについて書かれています。更にその後、問題解決能力や時間管理能力について書かれていますが、ここまではすべてPersonal Skillsとして取り扱われており、その後でようやく技術スキルに関する言及が始まります。技術的なスキルは「基礎」と「インシデントハンドリング」に別れて記載されています。この文書は、元々米国で始まった世界最古のCSIRTであるCERT/CCによって作られたものですが、CSIRTスタッフに必要なモノは技術スキルのみでなく人的スキルであるということが、CERT/CCの経験を踏まえて良く説明されていると思います。実際、日本国内で企業内でサイバーセキュリティを推進する業務に携わっていると、技術的な知見を発揮する場面以上に、技術ではない側面のスキルを発揮する場面の方が多いのではないでしょうか。具体的には、経営層に説明する、IT部門以外の関係者にサイバーセキュリティの重要性を説明する、自社の課題を説明する、法的な要求を理解してそれを対策に落とし込む等といった事柄です。

私の経験からしても、冒頭にご紹介した拙筆記事においてジェフが言っているように、「サイバーセキュリティではない分野での業務スキルを身に付けた人ほど、サイバーセキュリティの世界で円滑なコミュニケーションができる」ということは間違いないでしょう。それだけ広く多岐にわたる視点が必要な分野がサイバーセキュリティであるということを最近特に実感しています。

以上、ITmedia掲載記事の中から、特に誤解されがちなサイバーセキュリティの話題について３点ご紹介させていただきました。これらの視点はとても重要なのですが、一方でサイバーセキュリティはITの技術的な要素と切り離して考えることが出来ない問題でもあります。技術の問題でもあり、技術の問題でもないのがサイバーセキュリティですし、またITの問題でもありIT以外の問題でもある、さらにセキュリティの問題でもありセキュリティ以外の問題でもある。実は企業を取り巻くありとあらゆる要素に関わってくるのがサイバーセキュリティなのです。「サイバーセキュリティとはこういうものだ」と思ってしまうとドツボにハマってしまいますので、広く社会的もしくは組織俯瞰的な視点で考えるのであれば、いかに客観的でバイアスのかかっていない情報に触れていられるか、ということがサイバーセキュリティと上手に向き合うためのコツだと思います。注目を集めるような見出しの記事や、煽り文句の宣伝などが横行している分野でもあります。安易な情報に振り回されないように皆様もお気をつけください。

«（28）公表前の脆弱性の報道を考える

（30）「まるちゃんの情報セキュリティ気まぐれ日記」の読み方 »