🌐

準備する者には機会が、準備なき者には危機が訪れる。~サイバーセキュリティ対策は、コストか投資かでは無く「準備」である~

に公開
Security
Cyber Security
idea

はじめに

私は、Claude という AI を使って、サイバーセキュリティ(以下、長いんでセキュリティ)対策について、主に戦略レベルでの対話をしています。

最近の AI の使い方を Web で見ると、コード生成やレビューといった、ソフトウェア開発の効率や品質向上に活用されている事例が多いようです。しかし私は Claude をそのような使い方とは全く異なる形で活用しており、セキュリティ対策について、OSINTレベルの資料を要約したり、戦略レベルの対話をしています。少数な使い方かも知れませんが、このような使い方をしている人もいるのだな程度に思ってもらえればと思います。

戦略レベルと言っても、国策とかそういったものでは無く、とある民間企業で、セキュリティの全体方針を考える立場に近いので、セキュリティの技術というよりは、様々な経営課題の一つとしてのセキュリティ対策について考える程度です。

民間企業ですから(民間企業で無くても)、セキュリティ対策にかかる費用は、やはり頭の痛い問題です。最近はあまり聞かなくなりましたが、「セキュリティをやったら、いくら儲かるんだ?」と、そのままの言葉ではありませんが、それに近いニュアンスを受け取ったことはあります。

最近あまり聞かなくなったのは、特にランサムウェア被害が増えてきており、サイバーセキュリティに疎くても、どうも"ランサムウェア"ってのはヤバいというのが、感覚的に分かる人が増えてきたからかも知れません。

ただ、依然として、「セキュリティ対策はコストか投資か?」というような議論が、もしかすると、この記事を読んだ方の身近にあるのかも知れませんので、参考になればと、表題のタイトル(準備する者には機会が、準備なき者には危機が訪れる。)で考察してみたいと思います。

表題のタイトルは、Claude とのセキュリティ対策の対話の中で、Claude が創造した言葉で、セキュリティ対策の有りようについて、本質的な表現だなと思ったので、記事にしようと思いました。

この記事は、結論や要約を先に述べるのでは無く、順に考察を書いていきます。

サイバーセキュリティ対策は「サイバー防災」である

本題に入る前に、まず一つの比喩を示したいと思います。それは「サイバー防災」という考え方です。

防災は、火災や台風、地震への対策がありますが、例えば地震対策するとして、耐震補強や備蓄をすることを「投資」と呼ぶでしょうか?むしろ「準備」です。地震が来なければ「無駄だった」と言う人はいません。なぜなら、地震は「いつ来るか分からないが、来る可能性が高いもの」だからです。

同様に、サイバー攻撃に対する対策も「サイバー防災」として考えることができると思います。ランサムウェア攻撃は、現代企業にとっての「災害」と考えるほうがよいかも知れません。地震と同じように、「来るか来ないか」ではなく、「いつ来るか」という前提で考えるのが良いかと。

日本は防災意識が高く、BCP(事業継続計画)の策定も進んでいると思います。セキュリティ対策も、防災と言う観点で考えてみると良いかも知れません。

これは一つの比喩ですので、本題に移ります。

セキュリティ対策は「コスト」だし「投資」?

まず一つ目の考察として、セキュリティ対策は、コストだし投資でもあるとして考えてみます。

現時点で、一般的に求められるであろうセキュリティ対策が出来ておらず、その対策レベルに引き上げるための対策費用は、これはコストと言えると思います。

他方、業種がどうあれ、IT技術を使って、何かしら収益を上げたいとしたとき(これは近い将来の計画としての話)に、単なるITシステムの開発・導入だけでなく、その近い将来を想定したセキュリティ対策について費用を投じるのは、これはコストというよりは投資に近いと考えています。

とはいえ、その近い将来を想定したセキュリティ対策に費用を投じた(投じることが出来た)としても、それによって収益がどれだけ上がるのかと言われると、その「どれだけ上がる」とは、言いにくいのもあると思います。

そうして考えると、セキュリティ対策は、コストだし投資だしと思うものの、コストか投資かで考える事そのものに、ちょっと無理があるのかも知れません。

セキュリティ対策は「投資」ではなく「準備」

セキュリティ対策をコストか投資かで考える事に、ちょっと無理があるとして、別の考え方をしてみます。

「投資」という概念は、本質的に「リターンの測定(または予想)可能性」を前提としています。株式投資であれば配当や株価上昇、設備投資であれば生産性向上や売上増加といった形で、投じた資金に対するリターンを試算します。

しかし、セキュリティ対策の効果は「何も起きないこと」 にあります。攻撃を受けなかった、インシデントが発生しなかった――これらは、対策が効いた結果なのか、たまたま運が良かっただけなのか、判別が困難です。ROI(投資対効果)の計算になじまないのです。

一方で、上記で述べたような、近い将来を想定したセキュリティ対策は、投資というよりは「準備」と言えます。民間企業は、その性質として、やはり収益性を考えるのは自然なことと思いますが、セキュリティ対策についてまで収益性を考えるよりは、時間軸(準備)として考える方が良いかも知れません。

準備は「時間軸上の位置づけ」であり、投資は「収益性の評価軸」。これらは異なる次元の概念です。セキュリティ対策を「準備」として捉えることで、「今やっておくべきこと」という時間感覚での判断が可能になります。

この「準備」という概念は、BCP(事業継続計画)やレジリエンス(回復力)の考え方とも一致すると思います。「投資」と考えると、どうしても収益性を考えてしまいますが、「準備」として考えれば、セキュリティ対策を、実際に進めやすく(周りを巻き込みやすく)なるかも知れません。

「準備」とは何を指すのか

『「投資」ではなく「準備」で考えるのは分かるけど、「準備」って何をどうすれば?』と思うかも知れません。セキュリティ対策の準備としては、例えば以下のような活動があります。

インシデント対応計画の策定と訓練(イメージするだけでも)

ランサムウェア攻撃を受けたとき、誰が何をするのか、どのような順序で対応するのか。これを事前に決めておき、定期的に訓練することです。

事前にあれこれ決めておければ最良ですが、「もし、自社がランサムウェア攻撃とか言うのを受けたら、何がどうなるんだろう・・・まず、何をすべきなんだろう」と、「まず、何をすべきか」をイメージして周囲と共有するだけでも幾分違う(それも準備の一つ)と思います。

代替手段の確認(準備)

上記のインシデント対応計画で述べた、イメージすることにも関係しますが、ランサムウェア被害にあった場合、今まで普通に、当たり前に使えていた、電子メールや Webブラウザ、Office ソフトやチャットが使えなくなる可能性が大きいです。ITシステムの管理者が、ランサムウェア被害の拡大を防ぐために、すべてのシステムを強制停止するかも知れません。もしシステムが社員食堂の券売機と(給与自動引き落としのために)連動していれば、券売機も使えなくなります。
このような場合に、どのような代替手段が取れるかを考えてみる(イメージしてみる)のも良いのかも知れません。

「こんな事は、会社の情シス部門とか総務部門とかが考えるんでしょ?」と思うかも知れませんが、これらの部門は各部署でのコミュニケーションまでは把握していないと思います。もし電子メールが使えなくなったら、取引先にはどのような方法で連絡するかは、むしろ各部署で考える必要があり、そうした方が良いのではと思います。

セキュリティ対策の教科書を読むと、もっと色々書いていますが、重要なことは、ランサムウェア等のサイバー攻撃を受けたときに、まずその対応としての「はじめの一歩」を踏み出せるかどうかだと思います。インシデントが発生すると、「どうしたら良いの・・・」と竦んでしまうかも知れません。竦まないように、踏み出せるはじめの一歩を、イメージするだけでも違うと考えています。

「準備」をしていなければ、どうなるのか?

準備していなかった企業には「企業存続の危機」となり得ると思います。

ランサムウェア攻撃に代表されるサイバー攻撃を企業がうけて被害が発生したとき、本当に厳しいのは、「その対応に要した時間は取り戻せない(失った時間はお金で買えない)」 ということに尽きるのではと思います。

ランサムウェア被害をうけると、様々な事がいっぺんに発生すると思います。そのために、ヒト・モノ・カネを投入しますが、時間も投入しています。復旧が長期化すればするほど、これらの投入が続きます。その中で、一番取り戻しにくいのは、実は時間ではないかと考えています。

例えば、復旧に2ヶ月要した場合を考えてみます:

  • 予定していた新製品のリリースが遅延し、市場機会を逃す
  • 顧客対応や復旧作業に追われ、本来の業務が停滞
  • 競合他社に顧客を奪われるリスクが高まる
  • 従業員の疲弊と士気の低下により、組織力が低下する

これらは、事後的に資金を投入しても、ある程度は戻るかも知れません。とは言え、その2ヶ月あれば色々出来たはずのことが出来なくなるのが、一番厳しいのではと考えています。そして、セキュリティ対策という準備が出来ていなかったが故に、復旧が長引く(労力を費やしてしまう)と、企業の危機になりかねません。

「準備」していれば、どのような機会が訪れるのか?

では逆に、「準備」しておくことで、どのような機会が訪れるのかについて、率直には...、何の保証も無い :-) のですが、いくつか具体的に考えてみます。

1. 信頼という無形資産の獲得

セキュリティ対策が整備されていることは、取引先や顧客からの信頼につながると考えることが出来ます。例えば営業部門では、新規の顧客を獲得せねばならないとして、手札は多い方が良いでしょう。
「当社はセキュリティ対策を整備しています」という手札が一枚加わるだけ・・・なのかも知れませんが、手札は多い方が、ビジネスの機会は増えるのでは無いでしょうか。

最近では、取引案件の内容や大小によらず、セキュリティ要件が明示的に求められるケースが増えているのではないでしょうか。準備ができていれば、そのような案件に参入できますが、準備ができていなければ、最初から土俵に上がれません。

2. 事業継続性の担保

準備ができていれば、サイバー攻撃を受けても事業を継続できる可能性が上がります。これは「攻撃を受けない」ことよりも、実は重要かもしれません。

事業が止まれば、顧客は待ってくれません。競合他社に流れてしまうかも知れません。しかし、迅速に復旧できれば、顧客離れを最小限に抑えられます。

3. 組織としての成熟度の向上

セキュリティ対策の準備を進めることは、組織全体のリスクマネジメント能力を高めることにも繋がります。インシデント対応の訓練は、危機管理能力の向上にも寄与します。

「セキュリティ対策でいくら儲かるか?」という問い

「セキュリティ対策でいくら儲かるか?」という問いは、実は問い方が間違っているのではないでしょうか。正しい問いは 「準備をしていないことで、どれだけの損失リスクがあるか?」 と問うべきだと思っています。

ランサムウェア被害の復旧コストは、事業内容や被害の規模次第ですが、安いとは言えない額になるでしょう。また復旧期間は数週間から数ヶ月に及ぶことも予想されます。さらに、顧客の信頼喪失による売上減少、取引先からの契約解除など、間接的な損失は計り知れません。

準備は「儲けるため」ではなく、「失わないため」 の活動として、防災対策と同じように、むしろ地震よりも高い確率で「来るもの」として考えると良いのではないでしょうか。

まとめ

(セキュリティ対策は)準備する者には機会が、準備なき者には危機が訪れる。というタイトルで、私なりの考察を立ててみました。

セキュリティ対策は、ややもすると技術論が先行し、また専門家の言葉は専門用語のオンパレードで、そのような事が、セキュリティ施策が進まない遠因ではと日頃感じていました。この記事では、セキュリティの専門用語は最低限に抑えた(つもり)です。

その中で、Claude との対話の中で、Claude が創造した「準備する者には機会が、準備なき者には危機が訪れる」という言葉が、私にはとても響きました。この言葉は、セキュリティ対策の本質を、技術論ではなく時間軸と機会の概念で捉え直したものです。

このような AI の使い方もあるのだな(AI技術の使う方の一つ)として見ていただくだけでも良いかなと思います。そして、もしこの記事が、組織のセキュリティ対策における「はじめの一歩」になれば幸いです。

Discussion