日本企業の弱点はどこにあるのか

ただ同時に、そうした取り組みが簡単には進まないことも自覚している。「サイバーセキュリティの文化がまだ根付いていない今、最初の修了者は社内で大きな反発に遭うこともあると思います。ですが、プログラムが続いて修了者が毎年企業に帰るようになれば、彼らの活動はどんどんやりやすくなるはず。産業界の意識を高め、サイバーセキュリティリスクに対応する人材・組織・システム・技術を生み出していくのが我々の役割だと思っています」と市ノ渡氏は語る。

今回の取材では、中核人材育成プログラムと並行して行われたIT・セキュリティ担当の役員を対象としたセミナーの模様を紹介する。

(写真左)講義では海外最先端の技術や企業の防衛例を学んだ。(写真右)研修を進行する情報処理推進機構の市ノ渡佳明主管

「あなたは黒松電力という電力会社の社員です。組織図はこのようになっており、あなたは情報セキュリティ担当役員の立場です」「社員数名に不審なメールが送られてきました。数日後、サーバーに異常が発生し複数のパソコンでメールが読みこめなくなりました。その知らせを聞いたとき、何の情報を収集しなければいけませんか?」「情報を掴んだら、その内容を誰に報告しますか? そのときどのように伝えますか?」「今回のトラブルでは、ウイルスの感染具合を調べるのに6割の社員のメールが24時間使用できなくなる可能性があります。どうやって現場責任者を説得しますか?」「社内の機密情報が漏洩している可能性があります。CEOや法務担当、広報担当とはどの段階で話し合いますか?」――。

参加者は3つのグループにわけられ、所属する企業の業種に応じて振りわけられる。この電力会社をモデルにした演習に参加していたのは電力、放送、ITシステム会社などからの参加者6名。それぞれ、社長やIT部門の責任者、セキュリティ部門の責任者など、社内での役割を割り振られたうえで、前述のような刻一刻と変わる被害状況が次々に提示される。提供される情報は共通するものも多いが、立場によって違う場合もある。一部の参加者には、実際の現場でも起こりうる誤って伝わった情報や、立場上得意先や現場の部下を重視しなければならず、対策に前向きに取り組めないなどの追加情報が渡されることもあった。

参加者はアイアンネット・サイバーセキュリティの元軍人講師から幾度となく「あなたはこの状況でどう振る舞いますか」と問われ、それに対して短時間で答え、決断を下していかなければならない。参加者同士で話し合うことも可能だが、ほぼ初対面の状況で高度なサイバーセキュリティについて積極的に発言するのが難しいのは、端から見ていても伝わってくる。

参加者は架空の企業の社員として振る舞うが、情報が足りない部分は日頃の自社での取り組みを思い返して補うことになる。すると参加者同士で議論をするうち、サイバー攻撃への一般的な対応技術が向上するだけでなく、ITの知識量の違いや、立場によって異なる優先順位の付け方が人によって異なることがわかってくる。

セミナー終了後に参加者に聞いたところ、「最先端のサイバーセキュリティを皮膚感覚で知ることができた。参考になる部分は多くあった」と収穫を語ってくれた参加者がいた一方で、「レベルが高すぎて理解できないことも多かった。これが求められる水準だとすると、当社のセキュリティレベルはかなり低い。相当いろいろ見直さなくてはならない」と話すある企業のIT部門のトップもいた。