最近、事業会社でセキュリティに携わることの難しさについて色々と考えることがあったのでちょっと言語化してみる。いわゆる「セキュリティの知識をキャッチアップするのが大変」という直接的な話ではなく、もう少し構造的な難しさについて。特に何か明快な結論や解決策を提示できるわけではないのだが、自分なりに感じていることを書いてみる。

何が難しいのか

仕組みの理解が難しい

セキュリティに取り組むうえで、まず守るべき対象の仕組みをよく理解する必要がある。ここでいう「理解」は、単にそのシステムやサービスを「使える・動かせる」というレベルではない。そこからさらに数歩踏み込んだ、構造や原理の把握が求められる。内部でどのようにデータが流れ、どのコンポーネントがどう連携しているのか。そうした理解がなければ、どこにリスクが潜んでいるのかを見極めることは難しい。

ここでいう仕組みを理解する対象は、例えば自社が提供しているプロダクトやサービス、社内システム、インフラなどなどである。これらを広く守ろうとするほど、広い理解が求められる。

さらに、生成AIをはじめとして新しい技術やサービスが次々に登場する昨今、キャッチアップのコストも無視できない。新しいものを次々と理解していくには、やはりコンピュータサイエンスやネットワーキングといった基礎的な知識が重要になる。基礎がしっかりしていれば、新しい技術に出会ったときも「これは既存のあの概念の応用だな」と見通しが立てやすい。

逆に、仕組みをよく理解していれば、新しい解決策を考えることもできる。ちょっとした工夫で低コスト・高リターンな施策を打てることもある（もちろん全てがそうなるとは言わないが）。そういった発想を得るためには、やはり対象そのものへの深い理解が前提になる。

リスクと事業のバランスが難しい

「一番安全な戦略とは何か？」という問の答えは「何もしないこと」である。動きがあるところには常にリスクが伴う。しかし組織として活動する以上、何もしないという選択肢はありえない。

一方で、セキュリティ上の安全対策は必ず組織活動を何らかの形で鈍化させる。これは「〜を禁止する」「〜には承認が必要」といった直接的な制限だけの話ではない。セキュリティツールの導入や対応に予算や工数を消費すること自体が、他の投資機会を間接的に抑制してしまうのも事実である。

そのため、セキュリティにおいて最も難しい仕事の一つは、リスクと事業活動のバランスを取って「落とし所」をジャッジすることだと考えている。セキュリティというポジションに身を置いていると、どうしても安全側に倒したくなってしまうものである。しかし安全側に倒しすぎると事業がうまく回らなくなるというのもよくある話である（あるいは完全に無視される）。かといって安全側を削りすぎると、いずれ事故が起きて結局事業に大きな影響を及ぼす。このバランスの正解は状況によって変わるし、事前に「ここが最適解だ」と断言できることはほとんどない。最適ではないが、ほどよく関係各位が納得できる「落とし所」を探すのがやはり難しいポイントである。

リスクの洗い出しが難しい

攻撃にせよ事故にせよ、さまざまなケースを想定する必要がある。そして奇しくも、どちらも思わぬ方向から飛んでくるという共通点がある。攻撃者は意図的に死角を狙ってくるし、事故は想像の斜め上をいく人間の行動から発生する。

リスクアセスメントのフレームワークは世の中にいくつも存在するが、新しい技術やサービスを扱う場面ではあまり効果的でないことも少なくない。フレームワークは汎用性を持たせるために抽象度が高く、個別具体のプロダクトに落とし込む際にはどうしても自分たちで考える余地が大きくなる。結局、個々のケースごとに「このプロダクトにおけるリスクは何か」を地道に考えなければならない。

加えて、技術トレンドの移り変わりが速い昨今、過去の常識がそのまま通用しないという現実もある。かといって考えすぎると枝葉の議論に入り込んで収拾がつかなくなる。どこまでスコープを広げ、どこで線を引くかというのもバランスを取る話と同様に難しい。

どうやって生きのこるか

難しいなりにやっていく方法はやはり「共生」「対話」なのかなと思う。

オーナーシップを共有する

セキュリティ部門が一方的にルールを策定し、他の部門に押し付けるというやり方は、結局うまくいかないことが多い。押し付けられた側はルール遵守が「やらされ仕事」になり、セキュリティが他人事になる。そしてルールを作る側も、現場の実態から乖離した施策を作りがちになる。お互いが他人事になってしまう。

そうではなく、セキュリティに関するオーナーシップを関係者間で共有することが重要だと思う。互いに責任を持ち、セキュリティの問題を自分事として捉える。セキュリティ施策を考える側もプロダクト開発や事業運営の現実に向き合うことで、自然と対策を考えたりするうえでのバランス感覚が身についてくる。

理想は「問題について一緒に解決する」という姿勢だ。セキュリティチームが「こうしなさい」と指示するのではなく、「この問題をどう解決するか一緒に考えよう」という関係性を作ることが、結果的にはより実効性のある対策につながる。

互いに話す

オーナーシップの共有を実現するためには、結局のところ対話が欠かせない。互いの悩みや困りごとをきちんと言語化して共有することで、初めて建設的な議論ができる。

実際に話してみると、「実はそれ、そこまで困ってないんですよ」とか「その対策、実は簡単にできますよ」といった発見があることも少なくない。互いに外野から問題を指摘し合っているだけでは埒が明かないが、それぞれの問題意識—、セキュリティ上の懸念だけでなく事業やプロダクトにおける課題意識も含めて共有すると、会話がスムーズになる感覚がある。

そのため、技術力はもちろん重要なのだが、コミュニケーションもやはり両輪で重要だと感じている。技術がなければ信用されないし、コミュニケーションがなければ信頼されない。個人的に「コミュニケーション能力」という言葉はあまり好きではないのだが、「ちゃんと話をして、仕事上のことだけでもお互いを理解し合う」という能力はやはり必要だと感じる。互いの関係が醸成されれば、例えば事業側もなにか問題やその兆候を見つけたときに相談しやすくなるのでは、と思っている。

おわりに

各位やっていきましょう。