コラム第７５４号：<strong>『「木を見て森を見ず」にならず、「神は細部に宿る」』</strong> | コラム

第754号コラム：丸山満彦監事（PwCコンサルティング合同会社パートナー）

題：『「木を見て森を見ず」にならず、「神は細部に宿る」』

ランサムウェアに代表されるサイバー犯罪、ロシア・ウクライナ紛争以降より注目を集めるようになったサイバー戦。フェイクニュースも最近話題になることも増えてきたように思います。
サイバー犯罪、サイバー戦という脅威からサイバーセキュリティ関連の製品、サービスを売りたくなる気持ちもわかります。そのためのマーケティング活動として、様々なキーワードを使ったホラーストリーを広めたくもなるでしょう。それはビジネスとしては普通のことなので、止めることではありません。しかし、受け止める側は、しっかりと本質を見つめることが重要かと思います。
サイバー犯罪が増加すると、どうしてもサイバー空間に目が行きがちです。特にITに関わっている人は、自分の得意分野なので尚更かもしれません。しかし、重要なことはサイバー空間だけを見ていてもわからないと思います。サイバー空間で起っていることは全体の一部で、フィジカル空間で起こっていることと合わせて全体を見ることが重要ではないでしょうか。
ランサムウェアを使った犯罪やハッキングにより暗号資産を盗む行為が増えていますが、それはお金持ちの子供を誘拐するよりも簡単に、銀行強盗をするよりも簡単にお金が手にはいるからかもしれません。
サイバー犯罪として表出する行為はある意味、例えばお金を入手するという目的のための手段です。この手段を細かく分析するだけでは、全体像が見えてこないように思います。
同じように、敵国の政府のシステムをハッキングするという行為も、国として新たに投資をしようとしている内容や、軍の配置等を知ろうとする目的の手段かもしれません。全体を理解する、つまり木を見るだけでなく、あるいは木を見るときは、森を見るということが重要ということだと思います。

攻撃者のアトリビューション（それが誰か）を知ることは重要ですね。それは、その目的が何で、何をしようとしているかを推測するきっかけになるからです。おそらく、サイバー上の攻撃者の裏には真の攻撃者がいることも多いと思います。サイバー攻撃者を捉えてみると、その依頼者が麻薬犯罪組織ということもあるかもしれません。そして、麻薬犯罪組織は、武器密輸組織、人身売買組織は繋がっているようです。サイバーという視点だけではなく、常にもっと大きな全体構造を意識することが重要なのでしょう。
サイバー攻撃は、金儲けという目的のための、敵国の先端技術を盗む目的のための、敵国政府の動向を知るという目的の手段として使われることも多いと思われます。サイバー攻撃の防御をかんがえるときには、より大きな目的を理解して、その目的の達成ができないようにするという視点も重要かもしれません。

神は細部に宿る：Der liebe Gott steckt im Detail.
「神は細部に宿る」、”Der liebe Gott steckt im Detail.”（美しき神は細部に宿たまう）は、ドイツの美術史家アビー・ウォーバーグや、ドイツの建築家ミース・ファン・デル・ローエが好んで使ったとされています。
細かい部分まで妥協せずに仕上げることで、全体の完成度が高まる。細かい部分をいい加減にせずに、大切にすることが重要という意味だろうと思います。サイバーセキュリティ対策にも言えるのかもしれません。
どれだけ、綿密に適切に計画を立てても、実施段階でなおざりになってしまうと、当初想定していた目的が達成できなくなるかもしれません。また、計画を立てる段階では気づかなかったことについても、運用段階で適切に対応することが重要なのだろうと思います。運用段階で気づいた小さな出来事も、きっちりと対応することで、大きな事故が防ぐことができるかもしれません。一見些細なことと思えることも、その背後に大きな問題があるかもしれないと思いながら対応をすることが重要かと思います。ある意味、運用における美意識かもしれません。

出典：蟲ソムリエ.net byおいしい昆虫生活

鳥の目と蟻の目の両方を兼ね備える
「森を見ろ」でも、「細かいところも重要だ」と言われると、「矛盾していないか？」、「なんでもできるスーパーマンなんていない！」と、思うかもしれません。でも、そんなことはありません。森の細部にこだわるわけでもなく、一人で全てをカバーする話でもないからです。
例えば、組織全体のサイバーセキュリティ対策の基本方針をCISOが考える場合は、サイバー攻撃の細かい内容にこだわるというよりも、サイバー空間を取り巻く脅威動向、つまり、その組織を取り巻く政治環境や社会情勢、法規制、その組織が置かれている競争環境（その組織がグローバルに活動しているのであれば、その活動している全範囲で）など、いわゆる森を見ることが重要となってくるでしょう。一方、日々のサイバー攻撃の兆候の有無を確認している際は、細かい手続きであってもいい加減にしてはならないし、ちょっとした小さな気づきを見逃すことによって、大きな事故につながることもあるかもしれません。
また、CISOが細部にこだわらなくても良いということではありません。CISOが小さなサイバーインシデントを軽視することによって、セキュリティ対策の穴を見過ごし、大きなインシデントにつながる可能性もあります。一方、セキュリティ運用担当者が常に細部にこだわれば良いというわけでもありません。サイバーインシデントの原因を考える場合に、組織を取り巻く政治環境や社会情勢、組織が置かれている競争環境を無視することは良くないでしょう。
これらを、一人で全てをカバーすることが難しければ、チームでカバーすれば良いでしょう。これはサイバーセキュリティに限った話ではありませんね。
組織として、全体を見る「鳥の目」と、細部を見る「蟻の目」を備え、適時適切にそれを使い分ける（実際には、「鳥」と「蟻」というよりも、「望遠鏡から顕微鏡まで」倍率を自由に変えられる不思議が器械のイメージです）ということが重要ということだと思います。