守ってばかりじゃワクワクできない!
攻めの守りへシフトしよう
株式会社Armoris 取締役専務 CTO
鎌田 敬介
守るだけでは、もう間に合わない
DXの進展とともにサイバー脅威は日々巧妙化し、守りは常に後手に回る状況が続いています。
「万が一、サイバー攻撃の標的にされたら」「もしも情報が漏えいしたら」――そんな悠長なことを言っている間にも新たな脅威が発生し、小さなほころび、たった一つのインシデントが事業停止や信頼の失墜につながった例を、私たちはいくつも見てきました。
仕事としてセキュリティに携わる人には大きく2種類います。仕事として割り切ってやっている人と、セキュリティに「やりがい」や「楽しさ」を見つけ、仕事を越えたライフワークとしている人です。
前者が多い組織では、セキュリティ部門は「コストセンター」と見なされ、従業員はルールを負担だと感じています。両者に漂う「やらされ感」が、セキュリティ対策やルールを形骸化させ、内部からのリスクを増大させる悪循環を生んでいます。このような組織にも、時に自ら立ち上がる人が現れます。しかし、さまざまな障壁にうんざりし、活躍の場を求めて出ていくのが関の山です。
一方、セキュリティに「やりがい」や「楽しさ」を見つけ、仕事を越えたライフワークとしている人が生き生きと生息できる組織は、技術的にもセキュリティカルチャー的にも良い方向に向かいます。
では、多くの組織は今どちらでしょうか?残念ながら、前者です。未知の脅威への恐怖から前に進むことを恐れ、クラウドやAIなど最新のテクノロジーの活用にブレーキがかかっている。あるいは、よくわかっていないにもかかわらず「クラウドありき・AIありき」のスタンスで使って事故る。そんなケースが、実に多いのです。
攻めのセキュリティ人材を育てる3つの柱
これらの状況を踏まえて、私たちは、3つの柱で人材育成プログラムを構成しています。
1つめの柱:脅威を"狩る"調査・分析能力の習得
侵入を前提とし、攻撃の痕跡をプロアクティブに探し出す技術、戦略的な調査計画、そして経営層への報告までを学びます。
これにより、従来の受動的なアラート監視から能動的な自組織への脅威検知へ、情報の取捨選択を判断できる能力を養います。
サイバーセキュリティの最前線は、単なる技術力だけでは乗り切れません。経営にどのように伝えればよいのか、伝える力を同時に磨くことが重要です。伝える力を磨く上でArmorisが大切にしている秘訣は「遊び心」です。
2つめの柱:攻撃者の眼を獲得するために、感覚を鍛える
サイバーセキュリティは、セキュリティ担当者だけのものではありません。社員一人ひとりが攻撃者の眼で組織やシステムと向き合うことで、真の脆弱性を特定し、解決できる組織づくりにつながります。
そのために必要なのが感覚を鍛えること。特に視(みる)、聴(聴く)、話(話す)、触(触れる)を組み合わせて学ぶことで、机上の理論ではなく、実践的な防御策や空間的に把握する能力、意見や立案する力が身につきます。
技術とビジネスをつなぐ架け橋となる人材を育成します。
3つめの柱:有事に組織を指揮する力を養うために、安全な失敗を繰り返す 何においても最も重要なIT基礎、インシデント対応の基本プロセスを習得し、実践的なシナリオ訓練や演習を通じて、技術力や指示力、コミュニケーション力など自らの不足点を洗い出して鍛える。このような「安全な失敗」と「補強」を地道に繰り返すことで、冷静な判断力とリーダーシップ、そして、本物の危機対応能力を段階的に身につけていきます。
サイバーセキュリティを「コスト」から「価値」へ
これからの時代に求められるのは、受け身ではなく、攻めの姿勢でサイバーセキュリティに向き合える人材です。私たちは、技術力と戦略的思考、そして組織を動かす実践力を兼ね備え、それらを「楽しんで」遂行できる、真のサイバーセキュリティプロフェッショナルを育成します。
サイバーセキュリティを「コスト」から「価値」へ、「制約」から「競争力」へ。私たちは、価値観のトランスフォーメーションを実現し、広く社会に貢献できる人材を育てていきます。