サイバーセキュリティはITの問題ではない
どうもSakakibaraです。5日連続の寄稿です。最近は昼間も講演資料をずっと書いていましたし、今日はホワイトペーパーのレビューしてましたので、とにかくずっと文書との格闘でございます。この寄稿シリーズはとりあえず今日でひと段落しまして、あとは不定期に気分のままに書くかもしれないし、書かないかもしれません。
今日は総括の意味も含めてこんなタイトルにしました。ま、タイトルというのはセンセーショナルに付けるものでして、少々盛ってるのは許してください。
しかし、いまだに思うのです。サイバーセキュリティというのはハッカーと情報システム部、あるいはホワイトハッカーとの戦いだと思われてはいないか。なので、大きなセキュリティインシデントが起こると一時的に注目されますが、過ぎてしまうとすっかり忘れてしまう。
どうせ、いつものように自分たちにできることと言ったら「怪しい添付ファイルを開かない・URLをクリックしない」「マルウェアパターン定義やOS・パッチを最新にする」ばかり。リテラシーの高い人ならもうやってることばかりですね。報道が進み、いつもと同じだと知り、じゃあ自分は大丈夫。これで忘れちゃうわけです。
まぁ正しいっちゃ正しい。ちゃんとカギ閉めて家を出てるのに、いつもいつも「泥棒に入られてないかな・・・?」などと心配していたらストレスが溜まって仕方ありませんからね。しかし、全員とは言わないまでも、IT以外にもサイバーセキュリティを一緒に考えていって欲しい人たちがいるのです。
まず経営者は言うまでもない。全体に責任を持ちますから。そこは当たり前なので今回は除外。それを除けば、一番重要なのは僕は人事だと思っています。
日本は”テクノロジスト”の給与体系が低いんですね。課長・部長と上がっていくマネジメント系の人材ではないけど、抜群のスキルを持って技術的な面でみんなをリードしていける人。こういう人の給与体系は多くの会社において、早めに天井に達してしまい、抜かれていってしまいます。
しかしITをやっている人は結構共感してもらえると思うんですが、Sierのような労働集約型ならまだしも、クリエイティブなITをやる場合は、平凡な人材を何人ぶち込んでも、たった1人の天才にはかなわないということがあるんですよね。
僕はちょくちょく、前職がワ〇〇スだったことを書いていますが、あそこの商品でも、勤怠管理のパッケージソフトは特にそうでした。なぜか定期的に現れる何人かの天才が、1人でとんでもない機能を開発し、それを繰り返しながら成長していっていました。彼らがいなければ、同じ機能がいずれはできていただろうか?決してそうは思わないくらい、常人では考えもつかない機能でした。
しかし、こうした100人だろうが1,000人だろうが寄ってたかっても叶わない1人の天才に対し、日本の人事制度は何を返してあげているでしょうか?
まずここからじゃないですかね?高い技術を持ったサイバーセキュリティ人材なんて、今の人事制度では全然報われないんですよ。それなのに、その道に進もうなんて思いますか?いま、国も人材育成に力を入れようとしていますが、そんな簡単な話ではありません。子供のころからプログラミング教育を行うことで、高度なIT人材を育てようという動きがありますが、特殊技能者を優遇する制度を作っていかなければ、この状況はいつまで経っても変わらないと思います。
これは別にサイバーセキュリティ人材だけの話ではありませんね。日本からはAppleやGoogle、Facebookのような会社は出てこない、その主因はここにあると思っているのです。
昨日の記事でも、サイバーセキュリティインシデント発生時の逸失利益が見積もりできていないのではないか、という話を書きました。これは経理・財務の仕事でもあり、生産や原価管理の現場の仕事でもありますね。ITに頼っている販売店やECであれば、営業の仕事でもあります。問題が発生して施設が故障したり、または販売活動が1日停止してしまったら、いったいいくらの損失が発生するのか?新たに開発するIoT製品であれば、研究開発部隊が脆弱性をふさぐための設計を怠れば、大規模リコールによって製品は台無しです。開発部隊が設計を進める際に、セキュリティを理解する技術者を調達すること、彼らを開発プロセスにどこにどう加えていくかを考えることは重要ではないのか?
実際にプログラムを開発したり、ソースコード読んだり、ネットワークを設計したりするのは専門の技術者でなければできないでしょう。しかし、彼らの周りでは、こんなにもたくさんのITではないサイバーセキュリティ対策があるのです。これを、全部情報システム部門に押し付けていませんか?いや、押し付けています。そんな会社、今までいくつも見てきました。
個人としてできる対策、組織の一員としてできる対策、どちらもできることがあるはずです。そして最後に、こうしてみんなを参画させるためには、経営者のリーダーシップが欠かせないことは言うまでもありません。CIOやCISOではなく、それ以外の経営者が、会社を預かる者の責任として、この問題を考えていただきたいと思っています。
今日はこれで終わり!今日はそんなにPickしてないのでこれまでのnote記事をリンクしておきます。
5/12 世界的なランサムウェアに関するPickまとめ https://newspicks.com/news/2244624
ネットにつながなければ安全? https://newspicks.com/news/2247032
個人情報が漏れるのは怖い? https://newspicks.com/news/2249359
サイバー攻撃で世界は滅ぼせる? https://newspicks.com/news/2251868