組織におけるサイバーセキュリティ事情
名和利男氏:サイバーセキュリティを専門としている名和と申します。本日はみなさんと、状況認識というテーマでお話をさせていただきます。タイトルは、「組織の内外における状況変化を適宜認識する重要性」というタイトルです。
アジェンダは3つですが、最も重要な1番の「組織内部における『乏しい変化』」をまず中心にお伝えします。
その後、「組織外における『激しい変化』」ということで、2023年日本および日本周辺で何が起こったのかをダイジェストでお伝えします。これを踏まえまして、まとめになります。状況認識の重要性について、あらためてみなさんと共有させていただきます。
まず1つめは、「サイバー攻撃により深刻な被害を発生させやすい日本企業に見られる特徴」というタイトルで、いくつかみなさんと共有させていただきます。
内容はこの5点です。赤文字を眺めていただくとわかりますが、日本の組織のネガティブなところを少し出してしまっております。
こちらはあくまで、私がサイバーセキュリティに関するインシデント(サイバーインシデント)を発生させてしまった組織、団体に赴いて、セカンドオピニオンとして、全体的なインシデントの対応支援の経験に基づくものです。
その後の改善策の支援として、長いところでは数ヶ月にわたって支援をさせていただきますが、その根本的な理由がどこにあるのかをディスカッションして見えてきたものが5つです。
「社内手続き」が足かせになる
まず1つは、社内手続きを重視する姿勢です。これと相反して、サイバー脅威に適合したセキュリティ対策がなかなか行われていません。ここでは、例えば「うちの会社は理解が少ないから」「予算が限られているから」などなどの言葉があります。
ただ、それだけではなく、どうも予算が限られているというよりは、予算を得るための手続きがかなり立て込んでいる、時間がかかる、またはそれに対する説明コストがかけられないというところから、その手続きをする前にあきらめることがよくあります。
組織のセキュリティ対策の成熟度は、予算の決定者におけるサイバー脅威の認識と事業影響の想像力に大きく依存する。これが端的な表現です。
特にサイバー脅威の認識。これは情報システム担当の方や、CSIRT、セキュリティチームの方々が非常によく理解されているはずです。しかし、今申し上げた部門は、事業活動に直接的に関わっていないことが多いです。
そのため、事業に対する影響を的確に説明することが難しいので、この予算を確定する方々に対して、想像力を与えることが難しい状況が続いているようです。
最近、経済産業省や内閣官房のNISC等が、経営層に対するセキュリティのリーダーシップを取ってほしいと言っていますが、要は想像力を持っていただいたほうがいいと思っております。
昭和型営業の弊害
2つめは、昭和型営業です。これと相反するのが、デジタル利用による生産性向上、働き方改革です。こういったことは違った文脈で、いろいろなところで言われています。
私が見ているところでは、昭和型営業という言葉を象徴して書かせていただきましたが、精神論、根性論、義理人情、長年の勘、経験、度胸などという言葉がどうしても耳に入ってきます。
これは大企業でも一部残っていますが、中堅企業が多いように感じます。この昭和型営業を真っ向から否定するわけじゃありません。ただ、これが成功する前提は、人口が持続的に増加し、次々に物が売れる状況があってこそです。
しかし、今はそういう時代ではないことは、毎日のテレビ番組や新聞で報道されているとおりです。残念ながら、昭和時代に成功体験を多くおさめた上層部の方々にとっては、昭和がまだ続いてるという錯覚を無意識、無自覚に持ってるでしょう。
何か起こった場合、精神論で物事を解決しようする姿勢が最初に出てきてしまいます。インシデントを精神論で回避することなので、ロジカルではありません。
できるところもあるにはありますが、それはわずかであり、ほとんどのインシデントは小難しい状況です。後で合理的かつ慎重に調査をして、初めて見出された事実に基づいて判断していく。これをスキップすることは絶対できません。
この理解を阻害する要因としては、昭和型営業で慣れた方々のちょっとした誤認識が見え隠れしております。
閉鎖的なキャリアシステムも問題
3つめは組織的な、閉鎖的なキャリアシステムです。これと相反するものは適材適所の採用、人材配置です。これも私から言うまでもなく、さまざまな経営コンサルタントや日本の経済に対して強く危機感を持っている方々が、よく言われていることかと思います。
スライドに小さな文字で書いたのは、ムラ社会、厳しい秩序、しきたり。今は少なくなっているような報道もありますが、サイバー攻撃を受けてしまったところの支援では、特にサプライヤーや中堅以下の企業にはごく普通にいまだ見られる状況です。
人材派遣の方と、以前ディスカッションしたところによりますと、いい人材がせっかく入っても、組織上層部にとって都合の良い人じゃないとすぐに回れ右していなくなる状況が現在進行中であるようです。
こういうところに支援をすると、やはりあるべきものがない。すなわちフレームワーク、プラクティス、最善策がほぼない。誰かができてそれを言語化せずに残っているものはあります。
また、何を持って最善かという定義が部門ごとに違うことすらあります。文書化を強く進めたり、作成していくんですが、軽く数ヶ月かかります。ある組織においては文書化に半年以上の時間がかかっているところもあります。
これだけ閉じたところでキャリアアップをしていく中で、(役職の)上にいった方は、過去の経験や成功体験をもとに判断されます。これは残念ながら、最近の最善策を入れることにおいては、ブレーキになることが多々あります。
特有の暗黙知がとっさの判断を遅らせる
4つめは、過度な合意形成です。括弧書きで、打算的な折衷案と書かせていただきました。これは非常に多い状況です。相反するものとして、本来得るべき、獲得すべき状況はマネジメントシステムの運用です。
いろいろな企業さまが表向きに出しているWebサイト、あるいは資料等を見ると、このマネジメントシステムがうまく動いてるような印象を与えるような記述があります。
確かにそのような会社が多々ありますが、そうではない会社もけっこうあります。内情を見ると、実際は過度な合意形成、特に余人をもって代えがたいシニアなど、ネット上にあります「調整老人」という言葉で揶揄されるような状況がまだまだ続いております。
スライドにはハイコンテクスト、そしてローコンテクストとありますが、日本はどちらかというとハイコンテクストの文化的基盤を持ってるところが非常に多い状況です。
他国がいいわけじゃありませんが、(それらの)状況を見ますと、多人種、多言語、多文化の中で、組織内を運用していく必要があります。このためには明示的な表現が必要です。
日本はまだまだ日本人だけ、あるいは特定のスコープに定まったような方々が一緒に仕事をしていることがまだ多くあります。そのため、ハイコンテクストとして、特有の暗黙知、非言語化が残っています。これがとっさの判断を鈍らせることがあります。
特にサイバーインシデントについては、ランサム攻撃や不意のDDoS攻撃、サイト改ざん、情報漏洩などがあります。
過度な合意形成を繰り返すあまり、判断の遅延が目立ちます。現場では、見積もりで2〜3週間で終わるところを、合意形成をしなきゃならない状況のために、数ヶ月、または4〜5ヶ月ぐらいの時間がかかり、最終報告までにかなりの労力を使うことすらあります。
見えない同調圧力と社内政治が影響
次に、過度な縦割りです。この過度な縦割りの影響で、同調圧力、社内政治が見えないかたちで、あるいはインシデントの発生時にはわかりやすく出てきてしまいます。
これと相反するものはありませんが、実務上、外部の専門的助言の受け入れができなくなってしまっているところがあります。
いろいろな専門家やサイバーセキュリティの専門組織が、こういった企業に行くと、最初にいろいろなバリアを感じたり、拒絶されることもあります。
そのような組織の中では、ふだんあまりにも平和すぎたのか、自分たちでちょっとしたインシデントを解決できるという成功体験があまりにも多かったようです。
しかし、会社を揺るがすような、またはネットや報道機関等で騒がれるものに対しては、自分の理解を超えたり、他の部署と緊密に連携することを経験したことがない方が、なかなか戸惑ってしまう。
その中で、外部の専門家の助言は非常に役立つことが多いんですが、それを理解する前に拒絶してしまう姿勢があります。これは、人間の気持ちとしてではなく、文化、慣習の一環として拒絶することが関係あるようです。
そうやって、インシデントレスポンス時におけるセキュリティ対策のスコープ、対応領域が非常に狭くなりまして、見逃してしまったインシデントがあります。また、数ヶ月後、同じような要請が発生するところも実は存在しております。
これは参考までにお伝えするものです。今日お伝えした組織内部の乏しい変化においては、私だけではなく、さまざまな国の方々が日本に対する客観的な評価を示しております。
従前の組織モデルは機能しない
トップダウンや階層を、ハイアラーキー構造の観点で分析した結果がネット上にありました。日本は、階層主義でありながら合意形成をしている、それも極端なまでに振れている珍しい国です。
高度経済成長時代は、相反する階層主義と合意形成を組み合わせた状態で、絶大な効果を発揮しました。この前提は、先ほどお伝えしたように、人口が増え続けていて、物がよく売れる状況でした。
しかし、今はまったく違います。昔に持っていた組織モデルは役に立たなくなってきていることを、皮肉にもサイバーインシデントを経験したことで身に染みて感じる状況です。
その中の反省として、組織の根本から変えていく必要があると気づかれたところのディスカッションで得たものを、今日前半でお伝えしました。
