セキュリティ投資の拒絶と有事の責任転嫁 経営層が自戒すべき「人為的ジレンマ」の正体：ジレンマから見るサイバーセキュリティの要点

セキュリティ投資を却下しながら有事の責任のみを現場に求める経営層や、パッチ適用を拒む事業部門との対立など、組織や人間関係に潜むジレンマを現役CISOが解説。AI時代に求められるマインド変革とは。

[三好一久，日本タタ・コンサルタンシー・サービシズ]

この連載について

ランサムウェアによるシステム全停止の真因は、セキュリティ投資の妥協や事業部門との対立など、平時に放置された「ジレンマ」にある。本連載は、現役CISOの視点から「予算配分」「組織のすれ違い」「認知バイアス」「AIや人材枯渇」といった実務の壁となるジレンマを解き明かす。

　前回はサイバーセキュリティ特有の構造的な側面によって生じるジレンマについて解説したが、連載第3回は、もう少し組織や人間関係に着目したジレンマを紹介する。

　なぜ、そこに着目する必要があるのか。まずその理由を伝えたい。企業において私たちは個人ではなく、組織という単位で動いている。そこでは当然、担当者間の意見の食い違いや、立場の違いがもたらす不和などが生じやすい。それはビジネス活動全般、あらゆる仕事で言えることだ。

　しかし、サイバーセキュリティは、こちらを攻撃してくる敵、外的脅威に対する防衛だ。個人がバラバラに成果を出すことはあり得ない。

　「組織を守る」という目的の下、一致団結できるかどうかは死活問題だ。同時に、人というものは元来ロジックで動くものではなく、感情で動く生き物だ。それ故にこの問題は、セキュリティに携わる人材のモチベーションや充実感、ひいては組織の成果にも大きく関わる。従って、そこでよく見られるジレンマの事例を知り、メカニズムを理解することには価値がある。

　現役のセキュリティ担当者にとっては思い当たる節が多々あるだろうし、読んでいて辛くなるような苦い記憶を思い出させてしまうかもしれないが、参考にしてほしい。

経営層と現場を切り裂く「無慈悲な2つのジレンマ」

　ここで、ある具体的な事例を紹介したい。セキュリティ担当者の坂本さん（仮）が所属する大手製造業D社では、3日前に発現したランサムウェア被害によって主要基幹システムのほとんどが停止。現場では昼夜を問わず、調査と復旧作業が続いている。

　社の存続にすら関わりかねない有事であるため、坂本さん（仮）は子供が生まれたばかりであるにもかかわらず、この2日間まともに帰宅すらできおらず、心身ともに限界を迎えていだ。しかし、大規模なセキュリティインシデントの対応経験を持つのは社内で彼一人しかいない。自分がやるしかない――。そう悲壮な覚悟で対応に当たっていた最中、経営者Aから放たれた「たった一言」が彼の心をへし折ることになる。

経営者A：　何が何でも復旧させるんだ。まったく、これまで君らは一体何をやっていたのか？

〜一年前の会話〜

セキュリティ担当坂本さん（仮）：　3カ月前に旧システムから移行完了した生産管理システムですが、子会社との接続や関連システムとの統合が継続的に進んでおり、権限管理の実態がつかめません。せめて特権管理だけでも強化したほうがよいと思います。

経営者A：　今はシステム統合を進めるだけで予算がギリギリだ。現状特に問題なく稼働しているのだから、それは2年後にシステム統合が完了してからで構わないだろう。

　セキュリティの現場において、担当者が板挟みなるジレンマの典型的なケースだ。担当者がセキュリティの強化に向けて追加予算を経営層に訴える。だが経営層からは、「これまでも問題なく動いているのだから必要ないだろう」「費用がかかるから後回しにしろ」と言われる。にもかかわらず、何か起きるとセキュリティ担当者は真っ先にインシデント対応に駆り出される。

A.セキュリティ強化を訴えても採用されない vs インシデントが起きると対応しなければならない

　無慈悲に聞こえるかもしれないが、このジレンマは企業が限られた予算内で活動する以上、仕方のないことだ。また、有事対応の専任要員が確保されておらず、知見を持った要員も限られるとなれば、やれる人がやるしかない。

　前回記載したようにセキュリティはそもそも攻撃者がいる限り本質的に“やらされる”ものだ。多くのセキュリティ担当者はこの理不尽を乗り越えて仕事に臨んでいる。では、次のジレンマはどうだろうか。

B.セキュリティ強化を訴えても採用されない vs. インシデントが起きると責任を問われる

　このジレンマBはAと一見ほとんど同じようでいて、全く別物だ。ジレンマAでさえ苦しいのに、加えて有事の責を自分のせいにされる。処分を受けないにしても、後ろめたく感じさせる。これでは、さすがに坂本さんとしてもやるせない。これはどうしようもないジレンマではなく、人為的かつ回避可能なジレンマだ。

　セキュリティリスクに対する投資不足はあくまで経営判断の結果だ。よほど現場が怠慢でもない限り、現場を責めてはならない。経営層は、自らがこのような理不尽な状況を生み出す張本人にならないよう、強く留意しなければならない。サイバーセキュリティの人材市場は現在、未曽有の枯渇状況にある。専門人材は引く手はあまただ。その辺りを肝に銘じておかなければ、坂本さんのような優秀な人材はあっという間に他社に引き抜かれてしまうだろう。

　一方の担当者としても、このような典型的パターンに陥らないよう意識しておきたい。自らの提言が通らないようであれば、将来板挟みにならないよう、多少毅然とした態度でもって、免責、責任分界を明確にしておくことが重要だ。

深刻化するコミュニケーションギャップと「共通言語」の不在

　どの業界においても、「経営は技術が分からない、現場は経営が分からない」というのは共通のジレンマだが、サイバーセキュリティにおいては特にそれが深刻だ。なぜなら、技術的な専門性が非常に深く、同時にビジネスへの影響も非常に大きいため、以下のすれ違いが生じやすい。

技術者：技術的な目線で何が起きたのかを説明しようとする（深く複雑になりがち）

経営者：ビジネス的な目線で何が起きるのかシンプルに知りたい

　両者の関心のある対象や捉えている時間軸は大きく異なる。これは組織にとってのジレンマであり、互いがそれぞれどういう性質なのかを理解しておくことが重要だ。特にインシデント対応の現場においては、焦りもある中、コミュニケーションギャップはいら立ちを生み、人間関係を崩壊させかねない。故に、両者の間に立って会話ができる人材は極めて貴重だ。なお、サイバ―セキュリティにおいては、経営層と現場が会話するためのそもそもの共通言語が未成熟だ。

　この点について、一般的に売り上げやコスト、品質、離職率などは明確な経営指標となるKPIが存在するが、セキュリティについては、残念ながらKPIを設定できていない企業が大半だ。組織としてこのジレンマを乗り越えていくためには、両者の共通言語となるKPIを作り、普段から互いに活動を確認できる仕組みを整える必要がある。

事業部門の壁：「パッチ適用」を阻むシステムの硬直化

　さて、立場の違いによって生まれる組織のジレンマについて、今度はセキュリティの運用面からも見ていきたい。

　周知の通り、脆弱（ぜいじゃく）性への未対応はインシデントの発生原因の中でもトップであり、極めて基礎的かつ重要だ。だが脆弱性への対応について欧米と比較した際、残念なことに多くの日本企業は非常に遅れていると言わざるを得ない。なお、脆弱性対応においては基本的に以下の2点がクリティカルとなる。

1. いかに網羅的に、いかに早くシステムに存在する脆弱性に気付くか
2. 発見した脆弱性をいかに早く修復するか（パッチを適用するか）

　「脆弱性に気付くか」についてはツールの高度化や普及により、日本もだいぶ進んできたように思える。一方で、「いかに早く修復するか」については、極めて前時代的だ。せっかく脆弱性を見つけても、いつまでたっても修正されないのでは意味がない。バケツに穴が開いたまま放置しているようなものだ。その際問題となるのが以下のジレンマだ。

セキュリティ部門は早くパッチを当ててもらいたい vs. 事業部門はシステム（サービス）をできるだけ止めたくない

　坂本さんは部門間調整でも苦労が絶えない。重要なサーバに対してパッチを適用する際は、そのシステムオーナーである業務部門に依頼し、サービスを止め、メンテナンスの時間を取ってもらわないといけない。事前検証も必要となる。だが、現場では往々にして、「サービスを停止すると利用者や業務に影響が出るため、すぐには対応できない」といった事業部門の主張が優先される。それを理由に遅々として進まない企業があまりに多い。

　一見すると、このジレンマは、互いに両立し得ない二律背反に見えてしまう。しかし、クリティカルなセキュリティパッチを適用できないというのは、取り返しのつかないリスク、サービス全体が破壊されうる可能性も抱えている。優先度が異なるのだ。

　発想を変えると、セキュリティパッチを当てる余裕すらない稼働レベルというのは、そもそも運用設計自体に問題があると言える。可用性の前提設計やメンテナンスウィンドウの取り方も含め、”モダンなシステム設計”として完全に間違っている。それをしっかりと事業部門に伝え、変えていかなければならない。また、システム保守費を過剰に削減しており、パッチ適用をする要員が足りない、ということであればそれも本末転倒だ。

日本の「ノーミス文化」が招くセキュリティテストの拒絶

　似たような光景として、セキュリティテストに関しても組織的なジレンマが生じることがある。昨今のシステムではさまざまな技術コンポーネントが組み合わさっており、技術変化も速い。日々それらに対する新たな攻撃手法が見いだされ、新たな脆弱性が発見されていく。

A.重要なシステムであればあるほど、可能な限り頻繁にテストし脆弱性の有無を確認しなければならない

　そのため、上記がセキュリティ上の極めて基本的な要求となっている。一方で、実際に社内システムに対しセキュリティテストを提案すると、稼働しているシステムへの影響を心配し過ぎるが故に「何かあったらどうするのか」「誰が責任を取るのだ」と言い出す、「事なかれ主義勢力」の抵抗に頻繁に遭う。

B.重要なシステムがテストにより影響を受け安定稼働に支障が出ると困る（誰が責任を取るのか？）

　すなわち、上記Aに対してBというジレンマの板挟みとなる。これは欧米と比べた際、日本の「ノーミス文化」あるいは「恥の文化」が顕著に足を引っ張っている。

　影響（失敗）を恐れるが故に、社内の特に重要な基幹システムに限って、ペネトレーションテストなどが過去に全く実施されないまま運用されているケースが悲しいほどに多い。その結果として国内では非常に深刻なインシデントが席巻している。

　「大丈夫だろう」の楽観主義のマインドで臭い物に蓋をしていては何も解決しない。最新の技術でテストを繰り返し、安全性を検証していかない限り、現実的な実効性の評価は決してできない。もしテストで多少システムが止まってしまっても、それはシステムが脆弱であることの証拠であり、その分システムを強化するきっかけとなる。テストとはそのためのものであり、決して失敗ではない。誰も恥じる必要も責任を負う必要もない。少なくとも、「悪意のある攻撃者によって派手にやられる前に気付けてよかった」と解釈すべきだ。また、どうしても本番環境に影響を与えたくなければ、少なくとも本番同様にテストが実施できる環境を別に用意しておくべきだ。

　なお、社内のパワーバランス的に、利益を生む事業部門はコスト部門であるセキュリティ部門よりも一般的に発言力が強いケースが大半だ。従って事業部門の役員などが古い考え方を持っていると、セキュリティの担当者では説得できないケースが多い。そのため、セキュリティに関する組織的なジレンマに陥った場合に備え、社長レベルの方も正しい知識を持ってほしい。

Claude Mythosの台頭：AI時代に「事なかれ主義」は通用しない

　ちなみに、企業における上記のようなセキュリティテストやパッチ適用にまつわる環境は、「Claude Mythos」の台頭によって今急激な変化が訪れている。

　今回挙げたジレンマはもはやどの企業にとっても喫緊の課題であり、AIによってわれわれに突き付けられた現実は、組織の内部で互いに揚げ足の取り合いをすることを許してはくれず、「事なかれ主義勢力」の抵抗ももはや全く意味を成さない。それは脅威であるとも言えるが、システムの安全性と真摯に向き合うきっかけとしては良い流れであるとも言える。

　ここまでの解説で、構造的にどうしようもなく生じるジレンマや、立場的な違いから生じるジレンマなどが、いかにわれわれを悩ませているかを理解できたかと思う。攻撃者や悪意を持つ者から組織やビジネスを守る、目的は至ってシンプルであるが、セキュリティは単にツールや機能を入れるだけで解決するような生易しいものではない。そして、ジレンマというのは更に、私たち一人一人の心の中、心理的な在り方から生じるものもある。次回はその辺りを詳しく解説していきたい。

筆者紹介：三好一久（日本タタ・コンサルタンシー・サービシズ株式会社　最高情報セキュリティ責任者《CISO》兼 サイバーセキュリティ統括本部長）

イリノイ大学アーバナシャンペーン校卒業後、サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積む。大手コンサルティングファームにて上流コンサルティングを経験。その後、大手セキュリティ関連企業にてコンサルティング部隊を立ち上げ、CISOを務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年、日本TCSに入社。現在はCISOを務めながら、サイバーセキュリティ部門を率いている。