なぜセキュリティ担当は「ジレンマ」に陥る 理不尽に負けない根本的アプローチ：ジレンマから見るサイバーセキュリティの要点

サイバーセキュリティの現場にあふれる理不尽。その背景には構造的に避けられないジレンマが存在する。今回は予算、攻撃者の予測不能さ、組織の結合点という視点から、担当者が直面する板挟みの構造を客観的に分析し、根本的な対処の糸口を探る。

[三好一久，日本タタ・コンサルタンシー・サービシズ]

この連載について

ランサムウェアによるシステム全停止の真因は、セキュリティ投資の妥協や事業部門との対立など、平時に放置された「ジレンマ」にある。本連載は、現役CISOの視点から「予算配分」「組織のすれ違い」「認知バイアス」「AIや人材枯渇」といった実務の壁となるジレンマを解き明かす。

　サイバーセキュリティの現場は理不尽であふれている。前回は、連載の導入として分かりやすいジレンマの事例を取り上げたが、この現場の厳しさこそがサイバーセキュリティの現実でもある。

　ジレンマを回避する、あるいはそれに適切に対処するには「ジレンマが発生する仕組み」や「サイバーセキュリティならではの背景や構造」を的確に理解する必要がある。そうすることで、理不尽なジレンマに右往左往し、思い悩むのではなく、自分がなぜそのような状況に陥っているのかを客観的に捉え、より根本的なアプローチで解決できるようになる。

　そこで今回は、そもそもなぜジレンマが発生するのかについて、もう少し日常的な事例を交えて探っていきたい。ちょっとしたエクササイズだと思って、次のセキュリティ担当者「坂本さん（仮）」の立場を想像してみて欲しい。

セキュリティ担当が抜け出せない“日常のジレンマ”

経営者A：　事業の効率化を図るためAIに投資したいので、当面セキュリティの予算を抑えて欲しい。

セキュリティ担当坂本さん（仮）：　仕方がないですね……。いったんIAM（アイデンティティーとアクセス管理）のグローバル展開は諦め、事業停止に直結する基幹システムの防御を優先します。

攻撃者X（他多数）：　あー、ここ本社のガード固いから、直接攻めるのはめんどうだ。守りの薄い海外子会社から攻めるか。

　ビジネスに限らずあらゆる物事に取り組む際、考慮すべき要素の対立構造や同時に成立しないものを理解しておくことは重要だ。特にサイバーセキュリティにおいてはそれが特に顕著だ。構造的に何がどう相反していて、坂本さん（仮）は板挟みになっているのだろうか。

ジレンマその1　終わりのない「投資対効果」

　まず、簡単なものから説明しよう。企業の成長戦略において、セキュリティへの投資は、製品開発やマーケティング活動など他のビジネス領域と比べて利益的なリターンが望めるものではない。

　安全性という観点はビジネスにおいて重要だが、ユーザーが直接影響を受ける車や建物などの安全性と比べると、自社組織やシステムを守るための安全性は、多少の対外的なアピールになったとしても、本質的にはコストでしかない。

　もちろん昨今の深刻なセキュリティインシデントなどを前に、セキュリティに対する投資は非常に大切ではあるが、必要以上の投資は無駄につながる。企業にとって資金や人的リソースは限られている。従って、企業の成長戦略においては以下の二律背反のジレンマに常に向き合う必要がある。

売上や利益向上を目的とする投資・活動 vs. 自社を守るためのセキュリティ投資・活動

　これは端的に言うと、「セキュリティにどれくらいお金をかけるべきなのか」という問いにおけるジレンマだ。必ず考えなければならない事柄ではあるが、バランスの問題であり、各社でコントロール可能な領域でもある。だからこそ経営者のセンスが問われる部分と言える。

　ちなみに坂本さん（仮）は予算配分の権限がないので、与えられた予算で最善を尽くすしかない。中間管理職のジレンマはどの業界も変わらない。

ジレンマその2　自社の「合理性」 vs. 攻撃者の「予測不能さ」

　次のジレンマも非常に重要な点なので、丁寧に説明したい。

自社の合理的と思われる判断 vs. 攻撃者の意図（予測不能）

　サイバーセキュリティではこちらの意志や合理性とは関係なく、害を及ぼしてくる敵がいる。本質的に、“やらされる”領域であるが故に、サイバーセキュリティが思い通りになることは基本的にあり得ない。何をするにしても相手は常に隙間を狙い、裏をかいてくるため、どんなに合理的に考えても、いつまでたっても「これでいいのだろうか？」という疑問が残ってしまう。

　なお、坂本さん（仮）は非常に優秀で客観的なマインドセットを持ち、かつ組織に対して強い責任感を持つ人だ。こういった人はなおさら深く悩んでしまう。現在の合理性と将来の不確実性との間で意思決定を迫られるジレンマだ。しかも選択肢がいくらでもあり、かつ、何をやっても100％が保証されない状況で選択をするのはことさら難しい。

　実際にこれまで私が対処してきたインシデントの中には「こんなの事前に予測対処できるわけない」と言わざるを得ないような、想定外の侵入経路を突かれたケースもあった。それなりにモニタリングしていても対応が間に合わないような、圧倒的に洗練、自動化された水平展開もあった。

　バグバウンティ（脆弱性報奨金制度）の領域においても、「よくこんな事を思い付くな」と驚嘆する奇抜な発想で、世界トップレベルのホワイトハッカーがエクスプロイトに成功するケースもしばしば見てきた。

　そもそも、クロスサイトスクリプティング（Webサイトの脆弱性を突き、悪意あるスクリプトをユーザーのブラウザで実行させる攻撃）や、サーバサイドリクエストフォージェリ（本来アクセスできない内部システムへ攻撃者に代わってリクエストを送らせる攻撃）などは、多段ステップで入念に仕込まれるものだ。攻撃者側がどこまで計画的に仕込みを重ねているかは防御側には計り知れず、ある日突然、自社が深刻なインシデントの加害者（踏み台として）になってしまうことさえあり得る。

　防御側の予測や想定には限界がある。そしてデジタル技術が年々高度化・複雑化する中、今後は生成AIによる膨大な無差別攻撃も本格化してくるため、予測困難な側面、それに伴う不安との戦いはますます深刻となるだろう。

ジレンマその3　圧倒的な「非対称性」がもたらす心理的ストレス

　次のジレンマは、防御側が背負う義務の重さと、相手が見えないことによる「情報の非対称性」から生まれるものだ。

高い責任と限られた予算 vs. 敵が誰なのかすら分からない不安

高い責任と限られた予算 vs. 奪われても奪い返せない（失敗が許されない）状況

高い責任と限られた予算 vs. やられたときの影響が計り知れない

　加えて、サイバーセキュリティで厄介なのは、具体的な敵が分からないことだ。仮にこれが戦争のように「やられたらやり返す」ということが許されるのであれば、もう少し文脈は変わってくる。

　いざとなったらやり返せば済むのであれば、単なる被害の有無ではなく、パワーバランスや抑止の構造の問題として捉えられ、別のやり方で報復することもできる。奪われたものを奪い返すこともできるかもしれない。ことさら一方的に不安になる必要もない。国防には国防の難しさがあるが、反撃できるかどうかの差は本質的に大きい（ここで政治的な話をするつもりはないが、今日本ではそこが活発な議論となっている）。

　しかし、企業のサイバーセキュリティにおいては、相手はこちらが報復できないことを知りつつ、その非対称性を攻めてくる。非常に理不尽極まりない。しかもやられた時のこちらの被害は計り知れない。

　なお、この点がセキュリティのジレンマを語る上で大きな要素となる「認知バイアス」にも深く関わってくる。後ほど語るが、サイバーセキュリティは深く学べば学ぶほど、合理性の観点以外に、心理的要素を強く帯びていることが分かる。なぜなら坂本さん（仮）は、不特定多数の敵の存在という継続的なストレスにさらされているからだ。

上級者向けのジレンマ　重要資産の「集中防御」 vs. 組織全体の「総力戦」

　さて、冒頭の会話の中に含まれるもう一つのジレンマについて語りたい。これは少し上級者向けだ。セキュリティにそれなりに長く携わる人でないと普段から意識はできていないかもしれない。

　前回ランサムウェアの被害に関するエピソードを述べたが、セキュリティにおいては、本当に守らなければならない重要資産（基幹システムや機密情報など）を確実に守るという姿勢が非常に重要だ。企業にとって致命的なインシデントを防ぐことこそが一番の目的なのだ。限られた経営資源を投入する際は、重要な資産を優先的に保護することが求められる。

　しかしながら、攻撃者の観点は全く異なる。侵入しやすいところから入る方が手間が少なく、突破できるところから侵入するしかない。すなわち、セキュリティが弱いところ、海外子会社の末端など、管理や対策が行き届かないところが狙われやすい。そうすると全ての末端を徹底対策しなければならなくなってくる。

　これは、ジレンマの中でも片方を選ぶと片方が成立しないという二律背反だ。それを同時に成り立たせるのは、企業の一般的な現実において予算上不可能だ。

予算が限られているという前提において

・選択肢A：　事業リスクに関わる重要資産を守ることに予算を優先的に配分する

・選択肢B：　管理の行き届かない弱いところに予算を優先的に配分する

　選択肢AとBは同時に成立しない。組織全体を強くするというのは、ISMS（情報セキュリティマネジメントシステム）などのフレームワークの導入に見られるように、ボトムアップのアプローチとして重要かつ有効ではあるが、最高レベルのセキュリティを全てに適用することは通常予算が許さない。一方で中途半端なセキュリティでは、本格的な攻撃に対して十分とは言い難い。結果的に資産の重要性に合わせて優先度をつけたセキュリティ投資が重要となってくる。にもかかわらず、攻撃者は痛いところを突いてくる。

　このジレンマは特に難解なものの一つであるが、実際筆者が普段相対する大手企業においても、しばしば出てくる課題だ。本社をしっかり守らないといけないことは理解しているが、実際発生しているインシデントを見ると、セキュリティ担当者すらいない、タイの子会社であったり、ブラジルの拠点を通じて侵入されていたりしている。

　しかし、海外を含めて全ての子会社や拠点を等しく本社レベルで守ることは、コストやリソースの観点から難しい。このような状況における解決の糸口としては、攻撃者が実際に侵入する際の立場に今以上に立って、技術的な文脈からクリティカルな部分に焦点を当てて見ていくとよい。

　例えば、ネットワークやサービス、人（端末）がどうつながっているか、共有している資産は何かなど、ブリッジとなるポイントに着目することが重要だ。また、「つなぐのであればセキュリティレベルを合わせる」「セキュリティレベルを合わせられないのであればつながない」というような鉄則が重要だ。

セキュリティとは、生存のために「あがき続ける」こと

　サイバーセキュリティには残念ながら「どちらも素晴らしく選択に悩む」という恵まれたジレンマに陥る状況はほぼない。大抵において、どちらもイバラの道なのだ。

　仮に上述した経営者Aが「ゼロデイを突かれたらどうせやられるんでしょう、だから脆弱性対策なんてやっても無駄だ」などと言うとしたら経営者失格だ。それは「誰しも突然死や事故死の可能性があるから健康診断なんてやらなくていい」という暴言と変わらない。

　通常のビジネス領域における活動は、経営判断で撤退できる。自ら意図して取り組んでいるからである。しかしセキュリティについては繰り返しになるが、“やらされる”領域であるが故に、ビジネスを続け拡大を目指す限り撤退はきない。永遠に戦いは続く。完璧にすることもできないから、何をやっても不安は残るが、何もやらないことも許されない。

　生存とはそもそも、あがくことである。つくづく思うが、セキュリティにおいて「ジレンマ」という言葉は大抵の場合、「理不尽」という言葉に置き換えが可能だ。坂本さん（仮）は多分に同情される余地があると私は思う。

筆者紹介：三好一久（日本タタ・コンサルタンシー・サービシズ株式会社　最高情報セキュリティ責任者《CISO》兼 サイバーセキュリティ統括本部長）

イリノイ大学アーバナシャンペーン校卒業後、サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積む。大手コンサルティングファームにて上流コンサルティングを経験。その後、大手セキュリティ関連企業にてコンサルティング部隊を立ち上げ、CISOを務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年、日本TCSに入社。現在はCISOを務めながら、サイバーセキュリティ部門を率いている。