コラム

リスクマネジメント / 情報セキュリティ / 情報セキュリティ

情報セキュリティ散策 第8回:コンフェデ敗戦と危機感

2013年08月05日

 サッカーのコンフェデレーションズカップが3戦全敗に終わり、何かモヤモヤする気持ちはよくわかるところだが、人の弱り目を見て、ここぞとばかりにあれやこれやと改善提案を積み上げるのは、あまり上品な仕業とも思われない。まして、ザック以上の監督にめぐり合うことの確率の低さを思えば、監督交替を声高に叫ぶのはいかがなものかとも思う(外国人監督で苦労した過去があったじゃないかと書こうと思ってよく考えたら、代表でなく浦和レッズのことだったのでやめた)。

 しかしながら、危機感というものが強化の上では非常に大事なのも事実であり、そこまでを読んでの親心的騒ぎなら、素晴らしいと言わなければならない。いったいどっちだろう。

 さて、サッカーにしても情報セキュリティ対策にしても、慣れによる油断は大敵である。その意味でワールドカップ本戦の1年前に、本気の強豪チームに打ちのめされたのは、またとない機会であったと、ここはポジティブに捉えたい。

 ワールドカップには本戦があるが、情報セキュリティには本戦がない。いったい、いつを想定して戦ったらいいのかと、そんな悩ましさを感じる諸兄もおられることと思う(予備校講師のはやりセリフを唱える気はない)。

 だいたいセキュリティ対策というものは、コツコツやらなければならない地味なルーチンワークの連続であり、緊張の割に成果はなく、現場からの不平は多く、そのうえ人手不足で慰め合える同胞はなく、上司の理解も協力もそして評価も得られないとなれば、まともにやっているほうが不思議。いや、言い過ぎでした(反省)。

 近年の厳しい経営環境では、業績に直結しない地道な作業に十分な評価がされることは少ないかもしれない。しかし、このような業務こそ担当する人のモチベーションによって支えられている側面は大きく、ここに気を遣わないと痛い目を見ることになる。

 情報セキュリティを侵害する攻撃者の悪質化は衆目の知るところである。攻め手が厳しい状況の中、せめて守る身内は堅牢な体制にもって行きたい。となると、やはり情報セキュリティ組織は専任部隊を置き、マイルストーンなどを設定して目標を明確にするような方向性が必然のように思う。また、防御を行う上で周囲との連携も重要になる。孤立無援では、防御のモチベーションはもたない。情報セキュリティゲームは90分では終わらないのだから。

 CSIRT(インターネットで検索してください)と呼ばれるような組織を形成するのは、することを明確にする上でも有効と思われるが、そのような核になる組織を中心として、重要な情報資産を扱う現場との連携、技術力を持ったバックアップチームとの連携を整備することが重要だと思う。

 さらに、コンフェデレーションズカップ敗戦のような刺激は、組織の意思統一を図る上では重要な要素といえるが、情報セキュリティで簡単に敗戦を迎えるわけにはいかない。その意味で、訓練や教育が必要である。

 「その意味で」と言った。ただ流すだけの緊張感のない訓練や教育、具体的には、笑顔が絶えないお約束をなぞるような訓練、寝ている人が散見される微笑ましくもぬるい教育などは、「その意味で」行っていることにならない。鬼教官を用意しろとは言わないが、組織の緊張感を醸成し意思統一を図る上で有効な訓練や教育を実施することが重要である。

早乙女 真
​​MENU