2018年2月22日
2018年2月22日
2018年2月22日(木)
サイバーセキュリティはマラソンだ!
株式会社京都銀行
システム部サイバーセキュリティ対策室 室長 荒木 秀介
絶え間なく複雑化・高度化・巧妙化し続けているサイバー攻撃に対して、みなさん格闘されていることと思われます。この世界に身を置いて3年少し経ち、私なりに奮闘しているつもりですが、経験を積めば積むほど足りない部分が如実になりつつあります。場当たり的なパワーゲームを繰り返すのではなく、自分なりのポリシーを再構築し組織のポリシーとシンクロさせ、対応を洗練させていく必要に迫られていると認識しています。
そこで、この場をお借りして、サイバーセキュリティの取組みに対する私なりの心構えについて、趣味のマラソンになぞらえて整理をしたいと思います。
①長丁場である
42.195㎞はロングランです、スタートからダッシュしてもゴールまで持ちません。ただ、逆にゆっくり走り過ぎるとゴール時に力を余してしまうリスクもあり、難しいところです。サイバーセキュリティの世界でも、良い意味で気長に構えることも必要、「できないことはできない」といった割り切りも大事である一方、将来を見据えて一見ムダに見えることを放置せずにゆっくりと積み重ねる対応も存在すると思われます。
②戦略が肝要
長丁場であるがゆえに、サイバーセキュリティ対応も長期的なロードマップを立案してトライアル&エラーをしながら、着実にかつ戦略的に対応を深掘りさせていくことが適当だと考えます。マラソンのレースにおいても、例えば一般に「壁」と呼ばれる30㎞地点、誰もが苦しくなる残り2.195㎞など、来たるべきポイントを想定して、どのように走れば良いか事前にシミュレーションをすることが有効です。もちろん、想定通りに事が進むかは未知数ですので、謙虚な姿勢、折れないココロも同時に必要です。
③身の丈を知る必要がある
最先端を突っ走るフロントランナーが有利とは限りません。マラソンの世界でも最近はネガティブスプリットという後半型の選手が幅を利かせつつあります。サービス導入においても、先進的な他機関が導入しているという理由だけで、無理に多額な投資を費やしてしまっても宝の持ち腐れになる可能性もあります。むしろ、現状の組織スキルを考慮してひとまず見送り、環境が整い次第対応する構えにしておいた方が、柔軟かつタイムリーな対応ができる場合もあります。
④備えに工夫を
本番のレースでスピードを出す取組みばかりしても、土台のスタミナがなければタイムは伸びないですし、筋力などの基礎体力がなければ故障に繋がります。サイバーの世界でも脆弱性対応などの「平時」対応、訓練などを通じた「品質向上」対応、をバランス良く組合せて足腰を鍛えなければ、「有事」のインシデント発生時に力を発揮できないことにもなりかねません。
⑤すぐに結果が出ない
以上述べてきたように、マラソンでもサイバーセキュリティでも、長期的な戦略に基づく「適切な」な取組みを地道に積み重ねていく、つまり「急がば回れ」であることは共通していると信じています。ある意味、ともに「要領の悪い」分野であるとも言えます。ただし、これを否定的に捉えるのではなく、すぐに結果は出ないけれども、正しい努力をしていけば、相応に間違いのない方向に行くと信じたいです。サイバー攻撃は100%防御は不可能と言われていますが、少しでも安心・安全に暮らせる世の中になれるように尽力していきたいものですね。
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。