開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2018/01/05

日本の経営者が知らなすぎる? セキュリティ「3つのギャップ」とその処方せん

グローバルセキュリティ潮流底流

東京オリンピックに向けセキュリティの重要さがますます謳われる。海外と比べた日本のセキュリティのギャップや、日本が他国と取り組むセキュリティ政策など、グローバル視点でのセキュリティの潮流とは。パロアルトネットワークス アジア太平洋地域の公共担当 最高セキュリティ責任者兼副社長が、経営陣が知るべきことは何かを解説する。

パロアルトネットワークス 松原実穗子

パロアルトネットワークス 松原実穗子

パロアルトネットワークス アジア太平洋地域 公共担当 最高セキュリティ責任者 兼 副社長
防衛省で9年間勤務後、米国大学院にて国際関係・国際経済学の修士号を取得。その後、ハワイのシンクタンクにて、地政学的な観点でサイバーセキュリティ問題に取り組む。日本に帰国後は民間企業に移り、政策を中心としたセキュリティの責任者を務める。これまで日本政府の情報セキュリティ戦略に関わる委員会の一員としても選定されている。
現在はパロアルトネットワークスのアジア太平洋地域拠点における公共担当の最高セキュリティ責任者兼副社長を務め、各業界におけるオピニオンリーダーへのサイバーセキュリティ問題に関する働きかけや、域内の政府・業界への脅威インテリジェンス及びサイバーセキュリティのベストプラクティスの共有を担当。

photo
日本のセキュリティには世界水準からかけ離れた点がある
(© gintas23 – Fotolia)


 2020年の夏季オリンピック・パラリンピック開催地に東京が選ばれた後、日本におけるセキュリティの関心はかなり高まってきました。他国からも日本のセキュリティが注目される中、IoT(Internet of Things)の普及などで、世界とのつながりが増加しています。日本企業も、より国際的な視点でセキュリティの知見を高め、強化対策を実施する必要があります。

 本連載では、セキュリティベンダーの海外法人でセキュリティの責任者を務めた経験を持つ筆者が、海外から見た日本の立ち位置や国際的なセキュリティの潮流について解説していきます。今回は、日本と他国との間に存在するサイバーセキュリティにおけるギャップについて取り上げます。

日本のセキュリティの考え方が抱える3つのギャップとは

 最近、都内で多国間の安全保障協力に関する会議に参加する機会がありました。日本政府は安倍晋三首相の下、安全保障関係を積極的に強化しています。特に「東京2020オリンピック・パラリンピック競技大会(以下、東京五輪)」に向けて、サイバーセキュリティ分野では国際協力を拡大しています。

 その会議で出席者の1人から、「日本とパートナー各国がより緊密に協力していくためにはそれぞれの進捗状況について可視化が必要だが、どのようすればいいか?」とたずねられました。

 そこで筆者は、可視化を妨げると思われる、日本と他国との間に存在するサイバーセキュリティの考え方における、3つのギャップについて説明しました。

 第一は、経営幹部のサイバーセキュリティに対するかかわり方です。日本では海外と比べて、サイバーセキュリティに関する議論に企業の経営幹部が関与することが少ないという統計があり、サイバーセキュリティについて話し合う場が限定されがちであるという課題があります。

 2013年に行われたKPMGのサイバーセキュリティの調査によると、役員がサイバー攻撃対策の議論に関与すべきであると強く感じている企業の割合は、海外では56%であったのに対し、日本ではわずか13%でした。

 つまり、日本企業は今もなお、サイバーセキュリティがビジネスのあらゆる活動にかかわる課題であることを認識していないのです。

 サイバーセキュリティはビジネスリスク管理、経営課題につながる問題であると認識せず、IT実務者が扱う技術的なITの問題と狭義に捉えている証左であると言えるでしょう。

 第二はサイバーセキュリティの位置付けです。日本はサイバーセキュリティを「ビジネスエネーブラー(ビジネス推進のカギ)」 ではなく、「コストセンター (直接利益を創出しないもの)」と解釈する傾向があります。

 日本の大手企業が参加する産業横断サイバーセキュリティ人材育成検討会によると、日本企業はITを省コストのためのツールとして利用しているため、IT部門は省コスト部門と扱われがちとのことです(産業横断サイバーセキュリティ人材育成検討会 第一期 中間報告書 別紙1日本企業における人材不足と産学官連携による対策の必要性 1.0版より)。

 経営者がサイバーセキュリティをコストセンターではなくビジネスエネーブラーと考えるよう、日本政府(経済産業省)は2015年12月に「サイバーセキュリティ経営ガイドライン」を発行しました。

 2020年まで数年しか残っていないため、政府は従来のボトムアップ手法ではなく、トップダウン手法で全国のサイバーセキュリティ機能を加速度的に強化することを目指しています。

 第三は言語(英語)のギャップです。日本人が英語で情報や意見を発信する機会は、英語を母国語とする人々に比べて限られています。さらに、サイバーセキュリティに関する記事や論文の発表や、国際会議やシンポジウムでの講演を英語で行える日本人は非常に限られます。

 国際舞台で技術的、地政学的、政策的に高度な問題を非母国語で発表/議論するのは、日本人にとって生やさしいことではありません。

日本式減点法が国際舞台活躍の足かせに

 これは言語上の問題だけではなく、日本特有の文化的背景もあるでしょう。

 日本人は文化的に能力の誇示を避ける傾向にあります。また、「出る杭は打たれる」という日本の古いことわざは、他の人と何か異なることを行ったり、話したりするのを避けるという、日本の横並びの意識を表しています。

 しかし、国際協力推進のために国際舞台で発表するには、見解の違いを認識した上で、「どうしてそのように思うのか」という裏付けの情報を加えつつ、「新たな協力の機会を模索するための解」を提示していかなければなりません。

 さらに、日本人は従業員を減点方式で評価する傾向があります。新入社員が会社で働き始めたときは満点です。社員が前任者に従って業務を遂行するかぎり、その評価を維持することができます。

 しかし、会社の従来の手法に異議を唱え新しいことを試した場合、目に見える良好な結果が得られなければ評価が下がります。そのため、失敗を恐れ、新たな挑戦を回避するようになり、安全地帯にとどまるようになりがちです。

 たとえば、世界最大のセキュリティのITカンファレンスの1つであるRSA Conference 2017には中国、ドイツ、イスラエル、韓国など、数か国の展示ブースがありました。日本企業も数社が出展し、製品やサービスを展示するブースを設けていました。しかし、日本自体のブースはありませんでした。

 東京五輪に向けてITとサイバーセキュリティの革新を進める方向性を今後日本がアピールしていく上で、こうした国際カンファレンスは絶好の機会となるでしょう。

【次ページ】克服すべきは経営層のマインドセットと予算配分

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!