オピニオン

高度化するサイバー犯罪。だからこそ今、改めてデジタルデバイドを考える

　今更といわれるかも知れませんが、改めて考えを深めて対策を打つべきなのがデジタルデバイド、つまり情報（IT理解）格差の問題です。これは年代別（Z世代、ミレニアム世代とそれ以前）、職種別、責任範疇（IT部門、管理部門、現場など）によって複数の原因や理由が考えられますが、放置すれば様々な問題ーー特に重大なのはサイバーセキュリティーーを引き起こす可能性が大きい。であるならばリスクマネジメントの一環として捉え、対策するべきではと考察する次第です。

　デジタルデバイドと一括りにすると、IT活用能力、例えばベテラン層がWeb会議や企業SNSを使えない問題があります。IT部門に限っても、プログラミング、ネットワークやサーバー、クラウド技術に視点が行きがちです。もちろんこれらも大事ですが、リスクマネジメントとして捉えると、セキュリティガバナンスの基本を理解するか否かに他なりません。企業は様々な方法でこれに取り組んでいるものの、筆者が知る限り他力本願になっているケースが少なくありません。IT部門任せ、さらにはベンダー任せでは根本的な対応にはなりません。

　もちろん、セキュリティサーベイや定期的なコミュニケーションによる啓蒙活動、社員向けの疑似フィッシングメール送付による訓練、あるいは擬似的にサイバー攻撃を仕掛けるペネトレーションテストなどを実施している企業は多いでしょう。ですが、それらにしても形式的なものに留まり、例えば提携先までカバーすることは難しい状況があるはずです。何らかの問題が発見されたとして、きちっと対応することは責任部門をどうするかも含めて、悩ましい問題になりがちです。

　そうした問題を乗り越え、自社組織、グループ会社、協力会社などを含めた”毛細血管”までセキュリティガバナンスを浸透させるには、いったいどうしたらいいでしょうか？エンドポイント管理、サイバーハイジーン（衛生）管理、ゼロトラスト、ネットワークセグメント分離など様々な手法・技術があります。これらをマルチレイヤーで導入し、オーケストレーションさせるような対応は必要な手立てではあります。

よくある性悪説による対策は利便性を阻害する！

　しかしながら、結局は人が介在することを認知しておかなくてはなりません。「セキュリティに関わるGRC（ガバナンス・リスク・コンプライアンス）は性悪説で！」とソリューションベンダーは説いてきます。間違っているとは言えませんが、性悪説をやり過ぎると利便性が阻害されます。「面倒だ」と丸投げすると、ブラックボックスになってしまいますから、それもまずい。利便性を担保しつつGRCを維持するには一体、どうすればいいでしょうか？

　日々進化する攻撃者（組織的に高度に洗練されつつあります）に対抗できる完璧な答えはありません。が、必要なポイントは二つに絞れます。一つは、実際にインシデント（事象）に遭遇すると（早急な開示は必要）ステークホルダー全般（特にお客様）に多大な損失を及ぼしますから、これを最小限にすること。もう一つは、遭遇した際にいかに迅速にリカバリするかを常に準備することです。

　これらを進める、また配備するにはセキュリティ投資は不可欠ですが、それとともに実際の発症事例を常に共有、研究し周知する事だと思います。つまりセキュリティに関するデジタルデバイドの緩和・解消です。「もしも」を常に考え、前向きに恐れる意識をすべてのステークホルダーに刷り込む。アナログ的な表現ですが、経常的に意識づけ（可視化した情報共有）をし続ける環境や取り組みが必要ではないでしょうか？

　システム環境面での対策と、ステークホルダーの意識改革（関係者全員）は車の両輪であり、セキュリティガバナンスのベースラインであると確信しています。どちらが欠けても脆弱性が生じますから、可能な限り両方の対策を継続し続ける必要があります。そして、これらの取り組みはデジタルの利便性を担保するものであるため、同時にデジタルデバイドを改善していく序章になり得ると思います。

アドバイザー
引地 久之