2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
提供:株式会社網屋
リンクをコピー
記事をブックマーク
名和利男氏:サイバーセキュリティを専門としている名和と申します。本日はみなさんと、状況認識というテーマでお話をさせていただきます。タイトルは、「組織の内外における状況変化を適宜認識する重要性」というタイトルです。
アジェンダは3つですが、最も重要な1番の「組織内部における『乏しい変化』」をまず中心にお伝えします。
その後、「組織外における『激しい変化』」ということで、2023年日本および日本周辺で何が起こったのかをダイジェストでお伝えします。これを踏まえまして、まとめになります。状況認識の重要性について、あらためてみなさんと共有させていただきます。
まず1つめは、「サイバー攻撃により深刻な被害を発生させやすい日本企業に見られる特徴」というタイトルで、いくつかみなさんと共有させていただきます。
内容はこの5点です。赤文字を眺めていただくとわかりますが、日本の組織のネガティブなところを少し出してしまっております。
こちらはあくまで、私がサイバーセキュリティに関するインシデント(サイバーインシデント)を発生させてしまった組織、団体に赴いて、セカンドオピニオンとして、全体的なインシデントの対応支援の経験に基づくものです。
その後の改善策の支援として、長いところでは数ヶ月にわたって支援をさせていただきますが、その根本的な理由がどこにあるのかをディスカッションして見えてきたものが5つです。
まず1つは、社内手続きを重視する姿勢です。これと相反して、サイバー脅威に適合したセキュリティ対策がなかなか行われていません。ここでは、例えば「うちの会社は理解が少ないから」「予算が限られているから」などなどの言葉があります。
ただ、それだけではなく、どうも予算が限られているというよりは、予算を得るための手続きがかなり立て込んでいる、時間がかかる、またはそれに対する説明コストがかけられないというところから、その手続きをする前にあきらめることがよくあります。
組織のセキュリティ対策の成熟度は、予算の決定者におけるサイバー脅威の認識と事業影響の想像力に大きく依存する。これが端的な表現です。
特にサイバー脅威の認識。これは情報システム担当の方や、CSIRT、セキュリティチームの方々が非常によく理解されているはずです。しかし、今申し上げた部門は、事業活動に直接的に関わっていないことが多いです。
そのため、事業に対する影響を的確に説明することが難しいので、この予算を確定する方々に対して、想像力を与えることが難しい状況が続いているようです。
最近、経済産業省や内閣官房のNISC等が、経営層に対するセキュリティのリーダーシップを取ってほしいと言っていますが、要は想像力を持っていただいたほうがいいと思っております。
2つめは、昭和型営業です。これと相反するのが、デジタル利用による生産性向上、働き方改革です。こういったことは違った文脈で、いろいろなところで言われています。
私が見ているところでは、昭和型営業という言葉を象徴して書かせていただきましたが、精神論、根性論、義理人情、長年の勘、経験、度胸などという言葉がどうしても耳に入ってきます。
これは大企業でも一部残っていますが、中堅企業が多いように感じます。この昭和型営業を真っ向から否定するわけじゃありません。ただ、これが成功する前提は、人口が持続的に増加し、次々に物が売れる状況があってこそです。
しかし、今はそういう時代ではないことは、毎日のテレビ番組や新聞で報道されているとおりです。残念ながら、昭和時代に成功体験を多くおさめた上層部の方々にとっては、昭和がまだ続いてるという錯覚を無意識、無自覚に持ってるでしょう。
何か起こった場合、精神論で物事を解決しようする姿勢が最初に出てきてしまいます。インシデントを精神論で回避することなので、ロジカルではありません。
できるところもあるにはありますが、それはわずかであり、ほとんどのインシデントは小難しい状況です。後で合理的かつ慎重に調査をして、初めて見出された事実に基づいて判断していく。これをスキップすることは絶対できません。
この理解を阻害する要因としては、昭和型営業で慣れた方々のちょっとした誤認識が見え隠れしております。
3つめは組織的な、閉鎖的なキャリアシステムです。これと相反するものは適材適所の採用、人材配置です。これも私から言うまでもなく、さまざまな経営コンサルタントや日本の経済に対して強く危機感を持っている方々が、よく言われていることかと思います。
スライドに小さな文字で書いたのは、ムラ社会、厳しい秩序、しきたり。今は少なくなっているような報道もありますが、サイバー攻撃を受けてしまったところの支援では、特にサプライヤーや中堅以下の企業にはごく普通にいまだ見られる状況です。
人材派遣の方と、以前ディスカッションしたところによりますと、いい人材がせっかく入っても、組織上層部にとって都合の良い人じゃないとすぐに回れ右していなくなる状況が現在進行中であるようです。
こういうところに支援をすると、やはりあるべきものがない。すなわちフレームワーク、プラクティス、最善策がほぼない。誰かができてそれを言語化せずに残っているものはあります。
また、何を持って最善かという定義が部門ごとに違うことすらあります。文書化を強く進めたり、作成していくんですが、軽く数ヶ月かかります。ある組織においては文書化に半年以上の時間がかかっているところもあります。
これだけ閉じたところでキャリアアップをしていく中で、(役職の)上にいった方は、過去の経験や成功体験をもとに判断されます。これは残念ながら、最近の最善策を入れることにおいては、ブレーキになることが多々あります。
4つめは、過度な合意形成です。括弧書きで、打算的な折衷案と書かせていただきました。これは非常に多い状況です。相反するものとして、本来得るべき、獲得すべき状況はマネジメントシステムの運用です。
いろいろな企業さまが表向きに出しているWebサイト、あるいは資料等を見ると、このマネジメントシステムがうまく動いてるような印象を与えるような記述があります。
確かにそのような会社が多々ありますが、そうではない会社もけっこうあります。内情を見ると、実際は過度な合意形成、特に余人をもって代えがたいシニアなど、ネット上にあります「調整老人」という言葉で揶揄されるような状況がまだまだ続いております。
スライドにはハイコンテクスト、そしてローコンテクストとありますが、日本はどちらかというとハイコンテクストの文化的基盤を持ってるところが非常に多い状況です。
他国がいいわけじゃありませんが、(それらの)状況を見ますと、多人種、多言語、多文化の中で、組織内を運用していく必要があります。このためには明示的な表現が必要です。
日本はまだまだ日本人だけ、あるいは特定のスコープに定まったような方々が一緒に仕事をしていることがまだ多くあります。そのため、ハイコンテクストとして、特有の暗黙知、非言語化が残っています。これがとっさの判断を鈍らせることがあります。
特にサイバーインシデントについては、ランサム攻撃や不意のDDoS攻撃、サイト改ざん、情報漏洩などがあります。
過度な合意形成を繰り返すあまり、判断の遅延が目立ちます。現場では、見積もりで2〜3週間で終わるところを、合意形成をしなきゃならない状況のために、数ヶ月、または4〜5ヶ月ぐらいの時間がかかり、最終報告までにかなりの労力を使うことすらあります。
次に、過度な縦割りです。この過度な縦割りの影響で、同調圧力、社内政治が見えないかたちで、あるいはインシデントの発生時にはわかりやすく出てきてしまいます。
これと相反するものはありませんが、実務上、外部の専門的助言の受け入れができなくなってしまっているところがあります。
いろいろな専門家やサイバーセキュリティの専門組織が、こういった企業に行くと、最初にいろいろなバリアを感じたり、拒絶されることもあります。
そのような組織の中では、ふだんあまりにも平和すぎたのか、自分たちでちょっとしたインシデントを解決できるという成功体験があまりにも多かったようです。
しかし、会社を揺るがすような、またはネットや報道機関等で騒がれるものに対しては、自分の理解を超えたり、他の部署と緊密に連携することを経験したことがない方が、なかなか戸惑ってしまう。
その中で、外部の専門家の助言は非常に役立つことが多いんですが、それを理解する前に拒絶してしまう姿勢があります。これは、人間の気持ちとしてではなく、文化、慣習の一環として拒絶することが関係あるようです。
そうやって、インシデントレスポンス時におけるセキュリティ対策のスコープ、対応領域が非常に狭くなりまして、見逃してしまったインシデントがあります。また、数ヶ月後、同じような要請が発生するところも実は存在しております。
これは参考までにお伝えするものです。今日お伝えした組織内部の乏しい変化においては、私だけではなく、さまざまな国の方々が日本に対する客観的な評価を示しております。
トップダウンや階層を、ハイアラーキー構造の観点で分析した結果がネット上にありました。日本は、階層主義でありながら合意形成をしている、それも極端なまでに振れている珍しい国です。
高度経済成長時代は、相反する階層主義と合意形成を組み合わせた状態で、絶大な効果を発揮しました。この前提は、先ほどお伝えしたように、人口が増え続けていて、物がよく売れる状況でした。
しかし、今はまったく違います。昔に持っていた組織モデルは役に立たなくなってきていることを、皮肉にもサイバーインシデントを経験したことで身に染みて感じる状況です。
その中の反省として、組織の根本から変えていく必要があると気づかれたところのディスカッションで得たものを、今日前半でお伝えしました。
海上自衛隊において護衛艦の戦闘情報中枢の業務に従事した後、航空自衛隊において防空指揮システムのセキュリティ担当業務等に従事。その後JPCERT/CC等での経験を経て、サイバーディフェンス研究所に参加。専門分野であるインシデントハンドリングの経験と実績を活かし、CSIRT構築、サイバー演習の支援サービスを提供。最近は、サイバーインテリジェンスやアクティブディフェンスに関する活動を強化中。
2023年11月15日~16日の2日間に亘って、日本を代表するサイバーセキュリティの専門家や企業が集う、国内最大級のオンラインセキュリティカンファレンスが開催されました。サイバーセキュリティの最新動向や脅威への対策などを中心に計28セッションが開催され、そのうち19セッションを11月20日より順次ログミーでもお届けいたします。
株式会社網屋
関連タグ:
2024.12.20
日本の約10倍がん患者が殺到し、病院はキャパオーバー ジャパンハートが描く医療の未来と、カンボジアに新病院を作る理由
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.17
面接で「後輩を指導できなさそう」と思われる人の伝え方 歳を重ねるほど重視される経験の「ノウハウ化」
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05