私は生まれも育ちもIT業界ですし、それに若いころは世界的な石油・ガス業界、日本とドイツの製造業界での仕事をしていました。そのため、母国を出て海外で英米型の国際的な職場環境に飛び込むまでは、過剰なまでのマネージメントというものを知りませんでした。
私と役員の間には、組織上は正式な意味での管理職はせいぜい二つあるだけでした。地位や肩書きに大した意味はなく、任務が割り当てられる時には目的と権限がはっきりしていて、ランクが考慮されることはありませんでした。
ある日は、チームリーダーに報告をあげ、その翌日には新たに与えられた別の任務に関する報告をCEOに挙げる、そんなこともあり得るのです。仕事はできないとダメだし、自分が何をやっているのかわかっていないといけません。役職がなくとも、リーダーシップのスキルと公正なコミュニケーション能力は不可欠でした。リーダーたちは耳を傾けていてくれるし、専門性を発揮するとそれがなにであれ歓迎されました。
翻って現在のことについて話しますと……
サイバーセキュリティとリスクアセスメントについては、どこでも同じようなやり方が通用するというわけにはいかないようです。
数百ものサーバを有する某銀行の環境下で重要なシェルバイナリ(cmd.exeと呼ばれるもの)の一つが頻繁に変更されていることを同銀行のトップ(CISO:最高情報セキュリティ責任者)にあわてて報告したときのことはよく覚えています。この時CISOは肩をすくめただけで、何の興味もないことは明らかでした。
こんなこともありました。地方自治体の第一線の管理者との打ち合わせに参加したときのことです。実装されているツールは全く使用されておらず、最近の監査にどうやって通ったのかを尋ねたのですが、どうも自治体指定の監査役はXYZ会社のツールが実装されていると書類に記載されたものを見ただけで、確認済みのチェックをつけたようでした。
当然ながらこの組織は非友好的なハッカーの攻撃を二回も受け、クレジットカード情報が盗まれました(盗難の被害にあったクレジットカード数は未公表です)。
ある日、私はとある組織の会議室で更新アクティビティについて調べていたのですが、そこではオペレーティングシステムバイナリの化石のようなオブジェクトがそこここで展開されているのがわかりました。当初彼らは完全否定し、ごまかしたり、はぐらかしたりしましたが、とうとう「個人的な」リポジトリが使用されていることをつきとめたのです。そして、この個人的なリポジトリが不正にアクセスされていないことを証明するよう要求すると、ゲラゲラと笑われただけでした。
私を笑った連中はそのITインフラ全体を運営・管理していたアウトソーシング会社の社員でした。その時私の隣には顧客の代表者達が列席していたのですが、そのうちの一人が携帯電話を取り出して上司に電話をかけ、「どうも問題が起きているようです」と伝えました。
そんなのは単なる内輪話で、グローバルエコノミーにおけるサイバーセキュリティ管理の現状を正しく反映しているわけではない、と言う人もいるでしょう。私は賛同しかねますが。
セキュリティに関する全国規模の会議に参加したときのことです。全国的に知られるかなり偉いCISO(最高情報セキュリティ責任者)がステージに現れましたが、彼のメッセージは基本的に「われわれはなんと賢いことか」ということたった一つにすぎませんでした。観客は催眠術をかけられたかのようで、自分達の偉さに酔いしれていました。私はまさにその同じ組織内での自分の経験からして、その時この意見に全く賛成できませんでした。
いくらでもこのような例はありますが……
しかし最近の動向が状況を変えつつあります。サイバー攻撃を受けてCEOが解雇される事態が発生すると、事の重大さががようやく浸透するようになりました。まあ、ある程度に過ぎませんが。犯罪捜査が実施されることでプレッシャーが高まり、サイバーセキュリティリスクアセスメントにも確実に影響があるでしょう。
こういった新しい動きのおかげで、変化がすそ野まで浸透し始めました(遅すぎると思いますが)。一定の時点を超えれば、もっとずっと広い聴衆に伝わるでしょうが、それにはもう少し時間がかかるでしょう。けれどまた一方で、すでに非常に速く習得している人たちもいるのです。
近年、セキュリティの仕事は様々なレベルで需要が高まっています。地味な履歴書に魔法の言葉を加筆するだけの知恵のある人なら誰でもセキュリティ業界のどこかで仕事を見つけようとします。そしてその多くが成功しています。それは問題の解決にはなっていません。
サイバーセキュリティーに関して言えば、この業界や経済を発展、進化させる万能の処方箋などありません。業界文化を変える必要がありますが、まだその変化は全くといっていいほど起こっていません。変わったのは予算の額で、正しい行動を取らず、理解できなかったことで実際に失職した人がいたからでした。
取締機関が過失に対して重大な罰則を課せばいいのに、と思います。最近のデータ漏洩事例をみると、評判を気にすることが現時点では原動力になっているようですから。
役員レベルの人たちには、自分の仕事を守るという意識を超えて、サイバーセキュリティという課題に対する認知度と理解を深めてもらいたいと思います。しかしその時が来るまでは、個人が自分の失敗のコストを負担する義務がない現状で、株主にその出費の理由を説明するのは厄介なことでしょう。
中間管理職はさらに注力し、もっと責任を負うべきです。一方上級管理職は少なくとも正しく状況を把握し、下級管理職は到達すべき目標を実現させるための具体的な手段を取れなくてはなりません。さまざまな全体目標や個々のゴールに動機付けられた上に現状の実力で実行となると、与えられた使命と結果はよく見ると必ずしも一致しないでしょう。
