門林 雄基氏による、「サイバーレジリエンスコラム」連載開始

第1回：サイバーセキュリティに求められるバランス感覚

「改めて考えたい、サイバーセキュリティの定義」
　今月からサイバーセキュリティに関するブログ連載を行うことになりました。サイバーセキュリティという言葉は、なかなか日本語訳が難しいのですが、ネットを活用したビジネスやプライベート全般にわたって（＝サイバー）、安全と安心を提供する（＝セキュリティ）、という理解でよいと思います。日本人の感覚だと、なぜサイバーなの、と思うひとも多いでしょうが、英語では、ネットと人間の相互作用で生まれる距離を超えたコミュニケーションの空間を、サイバースペースと言っているのです。 　つまりサイバーセキュリティという言葉が使われるときには、人間の経済活動や文化活動を、オンラインであっても安心、安全に保っていこう、という社会的なコンセンサスが暗黙のうちに込められているわけです。これはなにも一握りの専門家が勝手に言っているわけではなくて、国連の専門機関や世界の指導者が集まる世界経済フォーラム等で１０年ほど前から議論され、国際的なアジェンダとして採択されている、世界共通の課題なのです。

「自社の商売の安心、安全を守るのが、サイバーセキュリティ」
　残念ながら日本では、サイバーセキュリティというと一部の専門家に任せておけばいい話だと考える人も少なくないと思います。しかし自分たちの財産や、自社の企業秘密や、プライベートな情報が危険にさらされたときに、ヒーローがいきなり現れて守ってくれると考えるのは甘すぎると思います。自分たちの財産や、自社の企業秘密や、プライベートな情報をどこに置いたのかを管理するのはあくまで自分たちですし、出入り口にガードマンを雇うにしても、犯罪者がやってきたときだけガードマンを雇うというのはかなり無理のある話です。サイバーセキュリティも同様で、一般のユーザ企業でも情報やシステムの自己管理がしっかりできていることが前提で、その上でサイバーセキュリティ専門企業などの警戒情報や防御サービスを普段からしっかり活用する、という役割分担が前提になっているわけです。

　専門家に動いてもらうわけですから、当然、お金がかかります。

　「サイバーセキュリティが大事なんです」、で上司を説得できない会社は少なくないと思いますが、「我が社のオンラインでの商売の安心、安全がかかっているんです」と言われて重要性が理解できない上司はまずいないと思います。このように適宜、上層部の方が理解できる言葉に置き換えて重要性をアピールすることも大事です。

　逆に上層部の方が技術に詳しい場合、おい、標的型攻撃の対策は大丈夫か、うちの会社は CTF （Capture The Flag: セキュリティ解析技術を競うコンテスト）に出なくて大丈夫か、海外のX社のセミナーに行って来たが、あの製品は凄いぞ、といった情報をよく聞かされることでしょう。一定の投資はしているものの、不安になることも多いのではないでしょうか。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご確認ください。
(リンク »)