サイバーセキュリティを考え始めた方へ

こんにちは

 

一応、セキュリティ業界にいる人間の端くれなので、

セキュリティについても語っていきたいと思っている所存です。

 

さて、今回は

サイバーセキュリティを考え始めた方へ

というまたまた偉そうなタイトルでお話ししたいと思います。

 

セキュリティの話をする際に

コロナウイルスのパンデミックに例えているのを

よく見かけます。

 

正直なところ

皆が知っているこのコロナ禍の状況について話して

その後に、セキュリティも同じです。

と言われても、

 

分かりやすいな

言い例えだな

と感じたことはありませんでした。

 

ただ、

ある日その考え方は完全に覆されました。

 

アジアパシフィック地域担当のエバンジェリストとして活動している

元々大企業のCISOをやっていた上司が日本に来たとき

 

エバンジェリストの話すプレゼンは

どんなものなんだろう

 

聞いてみたい。それを吸収して学びたい。

 

そう思い、彼にいつも話しているプレゼンを見せて欲しい

とお願いしてみました。

 

彼は快く受け入れてくれて

何なら今からどうだ？

と早速その機会をもらいました。

 

すぐに会議室を手配し

期待に高ぶりながら会議室に案内しました。

 

いつもやっている内容でもいいか

と聞かれたので

 

それが聞きたいんだと答えました。

 

逆に緊張するな

そんな冗談を言いながら彼のプレゼンが始まりました。

 

タイトルはこうでした。

 

Why enterprises need security?

 

企業にはなぜセキュリティが必要なのか？

といういたってシンプルなタイトルでした。

 

シンプルなタイトルは好きなので

やっぱり説得力のあるプレゼンもシンプルなタイトルを付けるんだ

と都合のいい解釈をし、次に来るスライドに期待を抱いていました。

 

そして次のスライドに書かれていたのは

WHOが出しているコロナウイルスの感染者数などのデータだったのです。

 

私は正直がっかりしました。

 

そりゃ元CISOが話せば

説得力はあるかもしれないけど、

結局コロナか。と。

 

どうせまた

サイバー攻撃の脅威もコロナと同じ。

実際に被害が出ているんです。

いつあなたに襲い掛かるかわからないんです。

みたいな展開にもっていくんだろう。と。

 

ただ彼のコロナの例えは

ちょっとだけ違いました。

 

感染者数グラフの次のスライドの内容はこうでした。

 

2020年になるかならないかくらいで人々に知れ渡り始めたコロナウイルス。

最初はその存在だけが知れ渡り、

どの程度の脅威なのか、

そもそも危険なのか、

感染力は？

薬は効くのか？

誰も知りませんでした。

 

そんな中でとてつもない勢いで感染が拡大し、

命をも脅かす存在であることが分かり、

特効薬も無いことも発覚し、

人類はなすすべなく、

ただただパニックになりました。

 

医学の専門家たちが、

感染を広めないように

感染者の症状が和らぐように

最善を尽くしつつも

 

被害者が出続け

世界中を蝕んでいきました。

 

国家間の異動の制限、外出制限、マスクの着用などで

どうにかしのぎつつ

ついにワクチンが登場し、

 

2021年初めころから

死者数だけは確実に減っていきました。

(ワクチンやコロナウイルス自体についても所説ありますが、

WHOのデータを正とし、それを前提に話を続けます)

 

そして感染者数もかなり抑えられてきて、

今は世の中が元に戻りつつあります。

 

コロナの脅威をサイバー攻撃の脅威に例える話であれば

コロナの脅威が収まってきた

という方向性の話はしません。

 

おや？

と思いながら、

前のめりになって彼のプレゼンを聞いていました。

 

そしてこう続くのです。

人類がコロナに立ち向かってきた歴史を各段階で分けるならば、

発見→学習→対応→治療→対策→保護

であると。

 

確かに、

コロナが知れ渡り、

専門家による研究が繰り返され、

同時に感染者の隔離対応や治療が行われました。

 

対応に追われても被害者は減らないので

マスクの着用を徹底したり、

パーテーションを設置したり

というような対策が取られ

 

コロナワクチンという保護によって

人類が守られるようになりました。

 

確かに

発見→学習→対応→治療→対策→保護

のステップで立ち向かってきたな

 

そう思っていたところに

あの言葉が続くのです。

 

サイバーセキュリティの世界も同じです。と。

 

脅威である

という点ではなく

立ち向かい方という点で

コロナとサイバー脅威は

似ているのだ。

 

そういうことでした。

 

ただし、

コロナと同じような対応では

コロナの時と同じように

パニックになるだけだ

と言います。

 

人類は

歴史から学ばなければならない

と。

 

もう既に私の瞳孔はおそらく全開だったのですが、

ここにある言葉が引用されます。

 

彼を知り、

己を知れば、

百戦殆からず。

 

そうです、孫子の兵法にでてくる言葉です。

 

そしてこう続きます。

 

サイバーセキュリティは戦場である。と。

 

そして実例として、

サイバー攻撃によって一般市民が命を落としてしまった

ニュースを取り上げ、

ついに本当に命の脅威となってしまったんだ。

そう説明を加えました。

 

ランサムウェアによって病院の基幹システムがダウンし、

救急患者の受け入れが困難になっている間に

帰らぬ人となってしまった人がいるんです。

 

だから今やサイバーセキュリティは文字通り命が掛かっている戦いなんだ。と。

 

だからこそ、

パンデミックを始めとした様々な歴史から学び、

まず「保護」できるようにするべきなんだ。と。

 

発見→学習→保護→対応→治療→対策

の順番で実行できれば、

対応しなければいけないインシデント件数も減り、

しっかりとした対策を練ることができるんです。

 

その為に、

彼を知り、己を知る

ということが必要で、

 

彼(敵)を良く知る専門家に保護してもらいながら

じっくりと己を知る時間を持つ事が

戦いに必要な準備ができる唯一の方法なんです。

 

己を知るというのは、

ネットワークやシステム構成について把握し、

脆弱性や潜在するリスクを抑えること

から始まり、

同じ業界で起きている事件や状況を知る

ということも含まれます。

 

この業界の情報というのも

専門家が持つ情報をしっかりとキャッチし

自らをアップデートしていく必要があるんです。

 

彼を知るのも、己の周りを知っているのも

専門家です。

 

専門家の情報を上手く利用し、

何が何でも自分を守ることが

戦いで生き抜くための最善策なのです。

 

ただし、

自らを情報の鎧で固めるための充分な時間を安心して得られるために

保護することから考えるのです。

 

あくまでも

自分の力を付けなければいけない

人任せではいけない

ということを

肝に銘じておかなければいけないと思います。

 

最後に、

このサイバーセキュリティの考え方に関するYoutubeを作成しましたので、少し長いですが是非流し見ていただければ幸いです。↓

shefutech Channel

ではまた。