コラム第７９４号：「インシデント対処支援の場で見られる「おかしな前提と立て付け」」

第７９４号コラム：名和 利男 理事（株式会社サイバーディフェンス研究所 専務理事／上級分析官）
題：「クラウド環境におけるデジタルフォレンジックとは？」　

サイバー脅威は、今や企業や団体にとって避けて通れないリスクとなっている。しかし、日本の組織の中には、サイバーインシデント対応において一見不可解な前提や立て付けを持つものが少なくない。

※ このコラムにおける前提と立て付けは、次のような意味で使用している。

· 前提 ・・・ 何かを考える、行動する、判断する際に、基礎となる考え方や条件のこと。
· 立て付け ・・・ 組織または事業（業務）の構成や仕組み、仕様、枠組みのこと。

これらの特異な側面は、組織内の特定の部門に不利益を発生させないようになっているが、インシデント対処支援の質や基準を低下させてしまうため、結果として、組織全体及び利害関係者に（本来は防げるはずの）不利益を発生させる要因になることがある。

筆者は、ここ数年、特殊な調査分析を伴うインシデント対応支援やセカンドオピニオンとして助言提供などをする機会が増えている。その中で、運用的・組織的な観点で信頼できるフレームワークや実績のある最善策をベースにした客観的評価や助言などを提供するが、どうしても受け入れていただけない領域がある。それらの理由は、次のような組織に内在する前提や立て付けによるものである。

· 予算との兼ね合いを考慮した「社内手続きを重視する姿勢」
· 打算的な折衷案を焦点にした「過度な合意形成」
· 閉鎖的なキャリアシステムに影響を受けた（と思われる）「適材適所の欠落」

以下、それぞれについて簡単に解説する。

●予算との兼ね合いを考慮した「社内手続きを重視する姿勢」
組織のサイバーセキュリティを担当する部門（情報セキュリティ関連部門、CSIRTなど）は、発生したインシデントに関する状況を十分に把握及び理解されていることが多い。また、情報システムが大規模になると外部ベンダーに委託する領域が出てくるが、その領域で発生したインシデントへの対処や原因調査に責任を持つベンダーの努力は素晴らしいものが多い。

組織は、その部門や外部ベンダーの努力により判明した「直接的原因」に対しては解決しようとするが、その直接的原因を生み出した背景や組織特有の環境、特に「サイバーリスクに対する甘い組織的認識」や「予算や人的リソースに見合わない要求事項」といった「間接的原因」の改善には及び腰になる。その主な理由は、予算との兼ね合いを考慮した「社内手続き」を重視する姿勢である。

つまり、組織のセキュリティ対策の成熟度は、「予算（利益目標を達成するために必要な売上や経費の目安）を決定する者」におけるサイバー脅威の認識と事業に与える影響の想像力に大きく依存しているということができる。

●打算的な折衷案を焦点にした「過度な合意形成」
日本の企業や団体のほとんどは、ハイコンテクスト（特有の暗黙知、非言語化による意思疎通など）の文化的基盤が 強いため、海外の組織に見られるローコンテクスト（多人種、多言語、多文化の中で求められる明示的な表現）と比べると、言語化や表現力が弱い。そのため、想定外のインシデント発生などの「通常とは大きく異なる場」で、落とし所を見つけるための合意形成を重ねていく必要が出てくる。

緊急の対処が求められる場では、打算的な折衷案が多層的に残る。これにより、事後の利害関係者への報告において、帳尻を合わせようとするために不自然または不明な点が含まれてしまう。その結果、その組織の信頼性や評判の低下が発生する。

さらに、インシデントの原因究明に要する期間が長くなればなるほど、組織的な意思決定のために過度な合意形成（異常なまでの緻密な資料作成を含む）を繰り返してしまうため、対処行動の遅延が目立ち、関係者に与える影響が拡大する。

●閉鎖的なキャリアシステムに影響を受けた（と思われる）適材適所の欠落
多くの日本企業における情報セキュリティの担当幹部（CISOを含む）は、組織の中でITやデジタルに詳しい、またはそれらに関する開発や事業を手がけた幹部社員の中から、既存のキャリアシステムから大きく外れない範囲で選定されているようである。たしかに、組織内ではITやデジタルに詳しいが、最近のサイバー脅威の理解が断片的であったり、自組織に影響を与える可能性を適切に評価できなかったりすることがある。また、一部では、適切な理解や評価をする努力を怠り、（本来は適切なアセスメントでないと得られない）有効性の高い（と称する）解決策や、（売り込みの訴求力に影響を受ける）費用対効果の高い（と称する）ソリューションを追求する姿勢しか見せない担当幹部も存在する。

組織の「閉じた世界」において、サイバーセキュリティに関する適材適所を尋ねると、最もらしく聞こえる説明が返ってくる。ところが、インシデント及びそれによる被害を発生させた調査分析を行うと、「（リーダーシップを取るべきだった）担当幹部の能力とスキル」が遠因と一つとなっていたことが明らかになることがある。稀にではあるが、組織は、その責任を不問としたり、（何かのために）そのような担当幹部に割り当てられるべき責任を回避しようとする水面下の努力が行われたりすることがある。

以上のような特異な側面は、日本の企業や団体がサイバー攻撃に対処し、その影響を最小限に抑える能力を制限させている。また、サイバーセキュリティの担当部門や担当者において、この側面に関する理解を通り越して、諦めの境地に達しているところすらある。これでは、現在進展の速度を上げているサイバー脅威による被害を拡大させることが約束された状態であるといえる。

社会全体のデジタル化は、ますます加速している。これと同時に、私たちの業務や日々の生活を支えるインフラがサイバー脅威に弱くなり、サイバー攻撃の発生を回避することが不可能になりつつある。筆者は、皆さんに、このような事実を真に理解していただき、日本の組織的・運用的な脆さに焦点を当てた取り組み強化への関心を高めていただきたいと願っている。

【著作権は、名和氏に属します】