毎年恒例、慶應大学のサイバーセキュリティ国際シンポジウムが4日間の日程で開催された。開催前日には、半蔵門に近い英国大使館でレセプションパーティも開催された。霞ヶ関、永田町、産業界、学界の関係者が、200名ほど集まっただろうか。18:30の開場から、お開きの20:00まで、随分長く多くの人と会話できた。
そして本番が始まり、私たちのシンクタンクも1コマ出番がある。パラレルセッションで、裏に経済安全保障のパネルがあるので、少し民間向けに「地に足の着いた」テーマを選んだ。
「うっかり」「まあ大丈夫だろう」を潰せ
と題したもので、意図としては、セキュリティにおける最大の脆弱性は人間にあって、それにどう対処するかを話し合おうというもの。
サイバーセキュリティは経営課題と認識した経営者は、ITガバナンスとサイバーハイジーンに務める(*1)のだが、そこからこぼれる問題がある。それを、
・組織のリスク管理が専門で、公認不正検査士でもある研究者
・「プラスセキュリティ人材」の提唱者で、人材育成を専門とする研究者
に語ってもらった。人間の脆弱性として「うっかり」は無くならない。標的型メール訓練でも、開封率をゼロにはできない。ならば組織でカバーして、後処理を素早くするべきだ。組織のリスク管理者は、どんな人も当事者となることを前提にルールと仕組みを整備すべきという。
また「(このぐらい、俺だけは)まあ、大丈夫だろう」という脆弱性については、その結果起きる事態(実例)を示して、リスクを自分事化する必要があると、人材育成研究者は言う。別の専門性を持って職務に就いている人もサイバーセキュリティのリテラシーくらいは(プラスで)持って、業務上のリスクを認識できるのが望ましい。どんなひどい目に遭うかが分かっていれば、「まあ、大丈夫・・・じゃないよね」と思いとどまれるのだ。
パネルディスカッションとしては、組織でやるべきこと、個人でやるべきことに加え、もっと大きな機関のやるべきこと(例えば政府の能動的サイバー防御)まで議論して50分を終えました。さて、聴いてくれた皆さんは、何を持ち帰ってくれただろうか。
