「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は

●大手を守るためには、中小を守らねばならない

──いま、気にしているのは大企業よりも中小規模ですか？

阿部：イエラエに転職した理由の1つがそれです。名だたる企業を相手に億単位の予算をかけ、という世界もありつつ、裾野を広げる上では中小が重要です。いま、サプライチェーン攻撃といった部分に注目も集まっています。

辻：大手を守るためには、中小を守らねばならない。

阿部：大企業を相手にしていたときも「自分たちが見ていない範囲でやられました」ということがたくさんありました。中小規模を守っていかない限り、日本全体のセキュリティを底上げすることは難しいと感じています。

辻：講演などでいろんな人と接していると、大企業における、大規模なセキュリティの取り組みは、言い方は悪いんですけど何の参考にもならないんですよね。規模が違いすぎるので。

──日本のサイバーセキュリティの理想を実現するため、いまどのような問題意識を持っていますか？

阿部：いまですと、世界情勢や安全保障ということもさることながら、会社単位で見たとしても共通しているのは「何を持って安定状態としているか」ではないでしょうか。平時とは何か、という定義です。運用とは、状態を安定させることです。では、そのラインはどこにあるのでしょう。それが明確になっていないことが多いのかもしれません。

　会社として「ウチのセキュリティは大丈夫か？」と聞く人も多いですけど、じゃあ「大丈夫」ってなんだろうということになります。ならば、会社としてのセキュリティもゴールを明文化しておく必要があるでしょう。

辻：「守りたいものはどこにある何か？」から考えるのではなく、脅威から考えるからおかしくなるのかもしれないと思っています。例えばいまなら「ランサムウェアから守るには？」から入ってしまいますよね。そこから入ってしまうと手薄な場所がどうしても残ってしまうので、話の起点が間違っているのかもしれません。

阿部：日本でも各業種でさまざまなガイドラインがあるのですが、「はじめに」の部分には最終目的が書かれているはず。そこを各組織が認識すべきなのかもしれません。そこで守るべきものが分かれば、日本的に横を見ながら走り出せる。日本はその部分は得意なはずです。

　海外は政府がガイドラインを強制しますが、日本はビジネス側が強く、それを逆手に取るのが日本らしいのかもしれません。世界に比べて日本のセキュリティが弱いとはまったく思いません。

　続く後編では、人材育成や未来のセキュリティ人材に向けた発信について、2人の考えを取り上げる。