日本タタ・コンサルタンシー・サービシズ株式会社
CISO(最高情報セキュリティ責任者)兼 サイバーセキュリティ統括本部長
三好 一久(みよし かずひさ)
グローバルに事業を展開する企業にとって、いまやITセキュリティのリスクの高まりはビジネスの拡大と表裏一体をなしています。ひとたび大きなセキュリティインシデントが発生すれば、自社に致命的な損害を与える可能性も大いにありえます。こうした局面にあって、経営者はどのようにセキュリティに向き合っていくべきなのか。多くの外資系企業でコンサルティングおよびセキュリティ関連サービスに従事し、世界の最新動向に精通する日本TCSの三好 一久が、シリーズで解説します。
ハイライト
- 経営者が漠然と感じ始めているITセキュリティ業界の方向感が失われている雰囲気は、実は本質的な気づきである。
- 見えない敵との終わりのない戦いであるセキュリティという分野において、安易なトレンドの追随は戦略的ではない。
- ビジネスの領域がグローバルに広がれば、セキュリティ対策の難易度は急激に上がり、支援できる企業も限定される。
IN THIS ARTICLE
追い詰められる経営者
ロシアとウクライナ、イスラエルとガザ、時間の問題とされる中国と台湾、そこに加わるトランプ・ショックの再来。一企業の者としてその内容に立ち入るつもりはないが、このところ世の中が急激にキナ臭く、不安定になっているのは誰もが感じることだろう。終着点もまったく見えない。
ITセキュリティの分野に長くいる私は業界の流れをずっと見ているが、同時に、これほど業界全体に“方向感のなさ”が広がるのはかつてない。長らく、多層防御だの、SIEM*1だの、サンドボックスだの、EDR*2だのと入れ代わり立ち代わり、良くも悪くもキーワードを中心にセキュリティ市場には強い流れがあったが、国内企業の多くが“ゼロトラスト”についていけなくなってきた辺りから方向感が急速に失われている。その一方で、“セキュリティはちゃんとしないとヤバイ”という焦りだけは日に日に高まっている。
*1: Security Information and Event Management, *2: Endpoint Detection and Response
かつては“深く考えずとも、キーワードを追いかけていればとりあえず許してもらえていた経営者”が、今は何をやればいいのか分からず真剣に悩みだしている。ある意味において企業にとっては、強引で身勝手ではあったが指標となっていた市場自体が答えを見出せなくなってしまった結果として、個々の企業が真剣に悩まなければならない状態が、ここになってようやく訪れたと言える。
2014年、ダイヤモンド・オンラインにて、『「場当たり的」「キーワード偏重」の対策がリスクを増大させ、無駄な投資を生む』というタイトルの記事を出させていただいたことがある。あれから10年。かつて私が指摘していた状況が顕在化し、ついに市場が強いキーワードを生み出せなくなってしまった。そもそもセキュリティというのは単一の製品や単純なキーワードで解決できるものではないのだ。
同時に、極めて平和主義的な日本人、そして“やればいいんでしょ”的な発言をしていた無責任な人たちも、裏で実際に相当数のインシデントにやられてしまうと、さすがに見方が変わってくる。セキュリティというのは、リアルに自分が痛い目に遭ってみないとなかなか理解できない分野なのだ。だが、その流れは決して悪いことではない。いざ本当の戦争になり、実際にターゲットにされ当事者になれば、キーワードを追いかけているだけではまったく解決しないのだから。そして、冒頭に述べた地政学的な変化を踏まえると、状況は決してわれわれに優しくはない。セキュリティがわれわれの“生存”にとって、ますます重要になることは間違いない。
今こそ世の経営者たちは、セキュリティの本質を理解しなければならない。いや、むしろ否が応でも理解させられる時にいるのだと思う。
今、われわれは戦場にいる
最近、私がさまざまなCxOと会話する際、真っ先に伝えていることがある。他のビジネスドメインと違って、セキュリティには大きく異なる点がある、と。それは何か?大抵はすぐに答えられない。何かしら、スッと答えが出る人はそれなりに普段から真剣にセキュリティについて悩んでいる人間であろう。ビジネスの世界には“戦略コンサルタント”なるものが存在する。孫氏の兵法などを引き合いに出す経営者も多い。しかし、それはあくまで“競争”の世界である。顧客がいて、競合他社がいて、その競争にいかに勝って市場で優位に立つか。競争というのはある意味平和であり、フェアである。さまざまなルールを皆で作り、守り、そして互いに切磋琢磨する。負けそうなら戦うエリアを自分で変えることもビジネスでは自由である。対して、セキュリティにおいては登場人物がそもそも異なる。一方的にわれわれを攻撃し、奪い、損失を与える“敵”が明確に存在する。セキュリティというのは、まったくフェアな世界ではない、一方的な略奪、悪意からの防衛である。それを競争と呼ぶ人はいないはずである。“戦争”もしくは“抗争”といった言葉が正しい。そして、終わりのない籠城戦における生存である。言わずもがな、競争における戦略と戦争における戦略というのは求められる性質も考え方もまったく異なる。このような文脈において、セキュリティにおける戦略のあり方、重要性を今一度真摯に考えなければならない。なお、この辺りについては、余談となるが私のこれまでの付き合いにおいて、欧米ではビジネスの世界においてもセキュリティ知見者には元軍関係者が非常に多く、“セキュリティの扱い”というのが、比較的戦争に近い分野として自然に受け入れられているように思う。一方、日本ではセキュリティに携わる人材のほとんどが民間出身者であるということも多少意識の差として表れているのは仕方がないことである。
冒頭で地政学的な話題に触れた。それでも多くの日本人にとっては、ミサイルが東京に着弾しているわけではないし、銃で毎日人が死ぬような状況ではない。だから対岸の火事のように実感が湧かない。けれども、われわれがまず理解しなければならないのは、サイバーセキュリティの世界において、ミサイルは、デジタルな形をとってはいるが、間違いなく存在し、われわれに日々降り注いでいるのだ。ただ目に見えづらいだけで、むしろサイバーの世界は現実世界よりも国際社会のルールや抑止力が緩く、戦争がとうの昔から始まっているとも言える。仮に将来日本が戦争に巻き込まれたとしても、サイバー攻撃の明確な開始時点というものは語られないだろう。それは現時点でもすでに発生しているのだから。
見えづらいだけで、攻撃は日に日に激化し、実際に焼け野原が広がっている。奪われ続けている。われわれはデジタルなミサイルが飛び交う中、商売をしているのだ。そこでは安全確保がなければそもそもビジネスなど成立しようがない、という当たり前の認識が必要である。いささか過剰とも思われるかもしれないが、このような言葉を私があえて選ぶ背景にはそれなりの理由があってのことである。
永遠に続く圧倒的に不利な戦い
第一に、セキュリティには強烈な“非対称性”が存在する。
セキュリティにおいては、こちらは丸見えなのに、敵は誰なのか分からない、何人いるかも分からない。どれくらい時間をかけて仕込んでくるかも分からないし、敵にはじっくりと攻める時間的優位性がある。そして、極めつけは、やられてもやり返すことができない。われわれは常に紳士的で一方的なサンドバッグ、被害者であり続けることを強いられる。そもそもそこにフェアネスなどはなく、初めから圧倒的に不利な“負け戦”なのである。この状況でセキュリティは完璧です、と自信を持って言える経営者がいれば是非話を聞いてみたい。
第二に、われわれのリソースには限りがある。
われわれを取り巻くこのような環境下、圧倒的に不利な戦いを生き残るには、自社のリソースというものはどうやっても足りないのだ。そして、他のビジネスドメインと異なり、セキュリティの投資においては、利益的なリターンというものがそもそもないのだ。多少の対外的なアピールになったとしても、本質的にはリターンのないピュアなコストでしかない。だからこそ、どの分野よりも真剣なリソース配分が問われるのである。
第三に、セキュリティには終わりがない。
この戦いには終わりが見えない。いつまでも続く。生存そのものであるから、ビジネスを続ける限りそれは続く。最近顧客から、“この取り組みはいつまでやらなければならないのでしょうね”、という愚痴とも疲れとも取れる言葉を聞いた。そう、終わりのない戦いはわれわれを疲弊させるのである。それでも一方的な籠城戦を続けなければならない。だからこそ、明確な目標とメリハリが重要だ。地政学的な面もさることながら、攻撃する側からすると、サイバー攻撃というのは生まれた国や貧富、学歴格差などを飛び越えて資産を獲得できる極めて有意な手段でもある。資本主義が軸となる世界において、残念ながら格差はますます広がっている。この流れは当面変わらないだろう。
フレームワークの限界
セキュリティの世界にはさまざまなフレームワークやスタンダードが存在する。それらはベストプラクティスとしてやるべきことを羅列しており、対策を認識し選ぶ上で価値がある。しかし、上述した非対称性の問題やわれわれのリソースの制限、ビジネス上の変化のスピードを踏まえた上で、本質的な部分で解がない。自社も環境もどんどん変化するのに、どこから何をどれくらいやればいいか?といった問いには残念ながら一切答えてくれない。一流の経営者は、激化・複雑化する状況の下、そのようなフレームワークがもはや機能しなくなってきていることに気付き始めている。一方で、いまだにセキュリティコンサルタントの多くが、“貴社のあるべき姿”、といった言葉を使いたがる。そして安易にフレームワークを適用し、ギャップを示してくる。しかし、この文章をここまで読んでいただけたのならば、フレームワークの適用などというのが、まったくもって“戦略的”とは言えない、ということをご理解いただけるであろう。実現できない理想を追い求めることではなく、むしろ近年、そしてこれから求められることは、“理想を実現するにはリソースが圧倒的に足りず、部分的な対策しかできない”ということを正しく認識することである。もちろんフレームワークが幻想だとか無駄だとかは言わない。これまでの内容と矛盾するようだが、セキュリティには生存とは別にコンプライアンス的な意味合いもあり、大手企業にとっては、市場や他社と付き合っていく上で、満たすべき水準というのも当然求められるし、手段を考える上で極めて有用であることは間違いない。
押さえるべき本質は負け方
繰り返しになるが、セキュリティとは戦争であり、一方的な略奪に対し、圧倒的に不利な状況で生存していかなければならない。これを入れれば大丈夫、というような市場のキーワードもない。言われるがままに、ただフレームワークを適用していても本気で攻めてくる攻撃者を前に解決にはならない。大手企業であれば既に経験しているであろうが、大なり小なりセキュリティインシデントというのは、もはや避けられない。この戦いにおいて勝利というものは存在しえないのだし、ずっと続くのだから、どの企業もいつかは負ける(損害を受ける)のである。故に考えなければならないのは、“負け方”であって、事業の存続に関わるようなインシデントさえ確実に防げれば御の字なのだ。その考え方、コミットメントが、目指すべき方向性に大きく影響してくる。何を最も守らなければならないのか?自社にとって最悪の事態は何か?これからCISO*3に求められるのは、生存戦略においてクリティカルな失敗を犯さないことである。流行りのキーワードや教科書通りの対策ではなく、生存するための条件を真摯に考え、限られたリソースを効果的に配分することだ。四の五の言ってはいられないのだ。だからこそ、“戦略的リスクの受容”といった、果敢な判断もますます求められてくる。研ぎ澄まされた戦略が必要だ。
*3: Chief Information Security Officer
最後に、このようなセキュリティの本質の部分もありつつ、大手企業、特にグローバル企業においては、コスト、人材不足、スピードなどもさることながら、守るべき対象の広さ、見えづらさ、関係の複雑性など、困難が立ちはだかる。ビジネスのさまざまな分野の中でも、セキュリティはいつの間にかものすごく難しい分野になってしまった。解決するには、ブレーンと専門的な人手がとにかく欠かせないのだが、同時に日本が抱える人口減少、技術者不足という、どうしようもなく根本的な壁が急激に顕在化してきている。グローバルレベルでセキュリティを支援できる企業も今後ますます限られてくる。私は常々TCSのことをグローバルトップのバイタリティを持つ会社だと考えているが、その根拠の一つがグローバル社会を支えるダイバーシティを兼ね備えた圧倒的な人的資源であり、それは今後確実に日本企業が必要とする重要な要素になってくるだろう。
三好 一久(みよし かずひさ)
イリノイ大学アーバナシャンペーン校卒。サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積み、KPMG、デロイトにて上流コンサルティングを経験。その後、マカフィーにてコンサルティング部隊の立ち上げ、CISO(Chief Information Security Officer)を務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年10月、日本TCSに入社し、CISOを務めながら、サイバーセキュリティ部門を率いている。
関連情報
お問合せ
お問合せ