サイバー空間への駐在員という考え方(仮)

サイバーセキュリティのスペシャリストを議論する前に

当社では、リスクマネジメント全般に関する実務支援を提供しながら、情報セキュリティ & サイバーセキュリティのアドバイザリを提供しています。

2007年の創業以前は、2002年よりサイバーセキュリティ関連事業に関わっておりましたが、2005年以降の情報セキュリティに関する 「管理策」 の徹底というフェーズに至り、情報セキュリティから離れて、BCM やガバナンスに関する支援事業を行って参りました。

2011年および2014年には、情報セキュリティに関する重大な事案が発生し、2014年後半から、またサイバーセキュリティの業務にも従事するようになりましたが、最近の 「セキュリティ人材不足」 の議論に触れるたびに、ビジネスと IT が分離していく寂しさを覚える機会が増えて参りました。

当社では、これまで製造業のお客様を中心として、事業継続計画の見直しや、リスクマネジメント規程類の改定をご支援してきましたが、実際に事業に携わる皆様が、サイバー空間を活用してビジネスを展開する上で必要なことが 「サイバーセキュリティ」 なのか?という点について、当社なりの考え方を記しておきたいと思います。

あくまでも着想のみで、今後の人材育成の考え方として残しているものです。


駐在員とは

駐在員とは、日本国外に居住して、所属する法人組織の事業を遂行する方ということになります。

海外ビジネスにおけるリスクマネジメントの観点からすると、ビジネスにおけるリスクマネジメントは、そのまま駐在員に求められるリスクマネジメントと近いものになります。

例えば・・・

  • 海外の勤務先国の法令を遵守すること。
  • 海外の勤務先国の商習慣を理解し、会社の信用と名誉を傷つけないこと。
  • 安全や衛生管理に留意し、健康を維持すること。
  • 地位を利用して、現地の取引先や従業者から不正な利益を得ないこと。 など。

ビジネスを遂行する上で、時差があったり、言語が違ったり、信頼できるパートナーを探し関係を維持しなければならないなど、日本国内でのビジネスではなかなか意識することが無い環境要因を、日々注意しながら業務と生活を行わなければなりません。


サイバー空間を活用したビジネスが盛ん

情報セキュリティやサイバーセキュリティに関する取り組みや、その取り組みを司る人材の育成を考えていくと、IT に対する理解とセキュリティに対する理解という発想が強くなります。それくらい、IT 環境におけるセキュリティの重要性が認識されてきているということになります。

別の角度から見ますと、これまで紙とペンで行われてきた業務が、PC とオフィスソフトに代わり、業務システムになり、クラウドサービスに移行していく流れがある中で、業務に従事する人が考えるビジネスプロセスはあまり変わらなくても、その業務を遂行するための道具はこれまでずっと変化してきました。

郵便からテレックス、FAX からメール、オンプレミスの業務システムがデータセンターに置かれ、クラウド環境へ移行し、業務効率化で SaaS の利用へ変化する。といった情報と情報流通の変化に対して、求められるセキュリティは 「暗号化しましょう」 ということでは無くなっているのではないかと思う機会が増えています。

そもそも、IT 利用がインターネット環境に開かれて便利になっていくことで、自分がどこからでもアクセスできるという状態は、他人にとって入口にたどり着けるシステムがインターネット上に存在するということでもあります。

そこでインターネット環境 (サイバー空間) を利用して、ビジネスを効率化しようと考える場合に、この環境の特徴にはどのようなものがあるのか簡単に振り返ってみますと・・・

インターネット環境 (サイバー空間)

法律がない。国内法も適用されないことがある。
警察もいない。原則、逮捕権は各国国内に限られる。
管理者がいない。個別 IP アドレスの接続点ではいる。
誰でも参加でき、アクセスでき、覗くことができる。
本人確認も電磁的に行われる。写真や映像は加工できるので本人確認は難しい。

でも、何らかの信頼関係によって、利用が拡大し、サイバー空間も拡大している …

このような環境に、重要な情報を通過、保存させてビジネスを展開しているのが現状と考えられます。


ビジネスとサイバーセキュリティの中間

ビジネスの IT 利用の拡大が進んでいます。

情報システム部門の日々の業務の成果として、デジタルトランスフォーメーションや Society5.0 に向けて、クラウド利用が進んだり、様々な業務支援のシステムやサービスの利用が拡大しています。中には、事業部門で直接クラウドサービスを契約して、日々の業務の生産性の向上を進めているところもあります。

そのような変化の中で、情報システム部門がサイバーセキュリティに関する取り組みを、会社組織内の全ての情報システム・サービスに適用し続けることが可能なのかについては、検証の余地があると考えています。

もちろん、業務システムを全てクラウドに乗せ、エンドポイントに EDR を導入し、CASB やクラウド Proxy を導入した上で、SOC でのオペレーションを 24 時間 365 日で運用する … といった対応をしているところもあるかと思いますが、実際には、オンプレミスとクラウドの併用があり、顧客とは可搬媒体を用いたデータの授受があり、セキュリティ対応はセキュリティアラートか年数回のセキュリティ監査でひっかかったものということもあるかもしれません。

このような背景で考えると、企業組織にサイバーセキュリティのスペシャリストを何人増やしても、構成管理の観点からはなかなか追い切れず、小さな穴から大きな問題が発生することも想定されます。そのような事案に対応するために CSIRT を配置することもありますが、CSIRT はインシデント対応だけを行う組織ではありませんから、なんらか情報システムにトラブルがあれば、故障・不具合・設定ミスからの確認と、サイバー攻撃の疑いの両面で対応を進める必要があります。

と、前置きが長くなりましたが、ビジネスに IT 利用を拡大していきたいグループと、企業組織内でサイバーセキュリティのスペシャリストとして勤務される方の間で、サイバー空間を活用したビジネスを考える人材という方々がいても良いのではないかと考えてみました。

サイバー空間という環境に合わせて、ビジネスを遂行する方 = サイバー空間駐在員。

サイバー空間でビジネスを実行するための所作を、IT スキルだけではなく、法令や商習慣、コミュニケーションのあり方や、情報資産の守り方など、生き抜くためのセンスを磨くことで、ビジネス寄りにも、IT およびセキュリティ寄りにもキャリアを形成できるのではないかという想定です。

答えがあるわけではないのですが、当社の教育事業においては、スキル教育も重視しながら、経験に紐づくセンスの部分も大切にしていきたいと思います。


お問合せ

アドバイザリサービスに関するお問合せはこちら

2019年11月26日初版