こんにちは!CISOの採用担当です。
本日は、代表の那須にインタビューをしてまいりました。
についてお話しして参りますので、「社会に貢献できる仕事がしたい方」や「自分の仕事にやりがいを感じたい方」はぜひ最後までご覧ください。
書籍の「はじめに」でも書いたのですが、例年にも増して昨年(2024年)は特に、サイバー被害にあった中堅・中小企業からの相談を多く受け、対応する日々を過ごしていました。その被害の深刻さ、金銭的な損失、経営者や社員の皆様の精神的な負担や苦痛は、経験したものにしか絶対にわからない、筆舌に尽くし難いものがあります。
例えば、取引先からの契約見直しや取引停止が起こったり、損害賠償請求が起こったり、黙って退職してしまう社員が発生したり、心労が祟って入院したり・・と、たった一度のサイバー攻撃が、ここまで企業に途轍もないダメージを与えるものなのか・・と。
その一方で、中堅・中小企業でサイバー被害に遭った経験がない場合は、映画やドラマの世界で起こっている出来事としてしか捉えられず、どうしても自分ごとになりにくい、という特性があります。
だからこそ「他人事だと思っているサイバーセキュリティ問題を自分ごととして捉えて欲しい」「被害に遭わない企業を1社でも多く作りたい」との思いで、東洋経済新報社様のお力をお借りして、一冊の本にまとめました。
サイバーセキュリティに対する投資の意思決定は経営者にしかできません。だからこそ、経営者自身が“自分ごと”として理解し、行動できる内容を、今届けなければならないと切実に思い、書籍執筆、という行動に移したのです。
本書では、第一章を物語仕立てにし、専門用語には可能な限りコメントを加えるなど、普段セキュリティに馴染みのない経営者の方にも手にとっていただけるように工夫しています。
「被害に遭わない企業を一社でも増やすこと。」
それが、今の自分にできる最大の貢献であり、私がサイバーセキュリティ支援会社を経営する重要な意義があると認識しています。本書はその一歩になることを願い、世の中に送り出しました。
日本でサイバーセキュリティ対策がなかなか広がらない背景には、大きく3つの要因があります。
1つ目は「日本という国の特性」です。日本は平和で穏やかな国民性をもち、他国からの攻撃や侵略を受ける機会が少なかったため、サイバー攻撃を現実の脅威として認識しにくい国でもあります。
法律上も「自分の身は自分で守る」ことが基本方針です。国は情報提供や相談窓口を用意していますし、毎年2月〜3月にかけては「サイバーセキュリティ月間」と銘打ち、各種情報提供を行っていますが、残念なことに国民のセキュリティに対する意識レベルにまで届き、具体的な行動につながっているかというと決してそうではありません。
「サイバー攻撃は国家主導で守ってもらわなくては困る」という声も一部聞こえますが、実際に国が日本全体をサイバー攻撃の脅威から守ろうとすると、サイバー攻撃の監視をする必要が生じます。これは国家によるネット上の情報監視と受け止められる可能性があり、日本のほとんどの国民が抵抗するでしょう。つまり、国家が守るにも限界があるのです。結果として、多くの場面で個人や企業に委ねられているのが現状です。
2つ目は「企業側の問題」、特に経営層の意識です。中小企業では60代以上の経営者も多く、ITやセキュリティ等を学ぶ機会が少なかったことから、理解が浅いケースも少なくありません。特に、「何も被害が起こらないこと」が成果であるセキュリティ対策は評価されづらく、導入したからといって売上が上がるわけではないため、優先度が下がりやすい。
結果、サイバー攻撃を受けたり、取引先から「セキュリティ対策せよ」との強制圧力が働いてから初めて動き出す、というパターンが多いのが実情です。
3つ目は「ベンダー側の提案レベルの問題」です。中小企業を支えるシステムベンダーやOA機器販売会社等は、パソコンや複合機など幅広い製品を扱いながら、セキュリティ提案も合わせて行っています。
そのため、セキュリティに対しての十分な専門知識を持たない中、限られたリソースの中で最善を尽くしているのが現実です。提案を受ける側のユーザのセキュリティリテラシーは、システムベンダやOA機器販売会社から受ける提案レベル以上にはなり得ません。結果として、進化するサイバー攻撃に対する対策が追いついてない、ということが起こるのです。
CISOが大切にしているのは、「シンプルで、丁寧で、分かりやすい」支援です。
「シンプル」とは、守れる状態をつくるために、余計なものを削ぎ落とすという考え方です。サイバー攻撃者の攻撃手法や、攻撃パターンを把握していることが大前提ではありますが、このような状況がわかれば、必要最低限の対策で守ることができるのです。
特に、私たちは中堅・中小企業専門のセキュリティ支援会社ですから、無駄なコストを発生させない、という視点も極めて重要になります。
また、情報漏洩問題は、サイバー攻撃だけではありません。退職社員等による情報事故や、飲食店でお酒を飲み、パソコンを紛失してしまう等「内部からの情報漏洩問題」も合わせて考えなくてはいけません。
このように「外部からのサイバー攻撃」や「内部からの情報漏洩問題」に対応するために、私たちが提供しているのが、「CISOセキュリティ診断(ビジネス特許を取得している独自の診断)」や「PCやサーバに対するセキュリティ対策の代行支援」等です。
CISOセキュリティ診断では、お客様のセキュリティ状況を網羅的に7つのわかりやすい項目に分類し、点数化します。やるべきことが整理された診断報告書に加えて、今後の取り組みとして、優先順位付けられた処方箋も併せて提供しますので、「うちはこのような状態だったのか」「他社よりも相当低い(高い)結果じゃないか」「Webサイトのセキュリティが極端に低いじゃないか」等と、今までわからなかった自社のセキュリティ状態が経営層から現場担当者までが一気通貫で視覚的にわかるようになります。
また「どこから手をつけていけば良いかわからない」という状況がなくなり、「これをすればいいんだ!」明確な道標ができるので、経営層が納得した上で、自信をもってセキュリティ対策に取り組むことができます。
セキュリティ対策の代行支援は、「セキュリティのプロをその会社に雇うことに匹敵するサービス」と考えてもらうのが良いかもしれません。
サイバー攻撃者の動きをシステム上でモニタリングし、万が一、PC端末やサーバ上に対して攻撃者が動き出した場合に、強制的に切り離し、以降の攻撃を発生させない仕組みを取り入れ、その運用をCISOが代行します。
なかなか徹底しきれない、WindowsOSのアップデート対応や、月に1回配信されるオリジナルの教育用動画、セキュリティに関する相談に応じる窓口の開設など、常にCISOがそばに居て守ってくれている、という安心感を実感いただけると思います。
その他、セキュリティルール策定や情報セキュリティ組織構築のためのコンサルティングやセキュリティ教育。万が一インシデントが発生した場合のインシデントハンドリング支援等も行っていますが、私たちが提供するあらゆるサービスには「丁寧さ」「わかりやすさ」がすべての根底に流れており、それが当たり前の文化として根付いています。
セキュリティというと、どうしても「パーカーを着たハッカーが…」というような恐怖や脅しのイメージがあったり、「危ないですよ、怖いですよ」と脅してセキュリティサービスを提案したり売ったりする風潮がありますが、相手の恐怖心を煽ってせキュリティサービスや商品を売るやり方を明確に否定しています。
そのためには、CISOのメンバー一人ひとりが、分かりやすく、優しく、丁寧に、安心を提供できる存在であることが大切です。未経験でも構いません。大切なのは、お客様にしっかり向き合い、誠実にサービスを届けたいという思いや、「守りたい」という気持ちです。
だからこそ、私たちは、“心根の良い人”を採用し、育て、現場で活躍してもらうことに力を入れています。その体制が、今ありがたいことに少しずつ形になってきていると感じています。
正直に言って、やりがいしか感じないのではないでしょうか(笑)
たとえば、セキュリティ診断は、コンサルティングの初回相談や初期調査のようなもの。お客様とたくさんコミュニケーションをとりながら進めていきます。そもそもCISOセキュリティ診断をお受けいただくお客様は、自社が本来見たくないような領域にメスを入れようとする、とても勇気のある皆様であることを認識しています。
「できていないこと」を指摘されるのは、正直、気持ちのいいものではないですよね。そのため、診断を受けること自体が「自社の状態を正面から見ようとする姿勢」の表れであり、それだけで素晴らしいと敬服するのです。
そのようなお客様の背景を痛いほど理解しているため、弊社の社員全員がその勇気に敬意を感じています。診断士メンバーの口から自然と「大丈夫ですよ」「心配しないでくださいね」と丁寧に寄り添う言葉や対応になるのは、お客様を尊敬している証の一つです。
目に見えない、弊社側の思いを感じ取ってくれるからでしょうか。最初は身構えていた方も、診断が終わる頃には「本当に受けてよかった」と喜んでくださいますし、今まで数百件もの診断を行っていますが、お客様から「依頼して損した」という言葉をどこからも受けたことがありません。
そして、そうやってお客様と真摯に向き合う先輩の姿を見て、後輩たちも「自分も早くあそこに行きたい」と努力を重ねる。自分の成長と、お客様に寄り添う仕事の喜びがリンクしていて、本当に手応えのある仕事だと感じられる環境だと思います。
CISOのメンバーの多くは、実は業界未経験で入社しています。そして今、そうした人たちがしっかりと活躍しているのが何よりの証拠だと思います。
なぜそれが可能なのかというと、未経験の方でも無理なく学べるプログラムと環境が整っていることはもちろん、「一人にさせない文化」が大きいと思いますね。
CISOでは、リモートワークであっても常に声をかけ合い、誰かが孤立することがないように支え合いながら業務を進めています。
中途採用では、すぐに実務に入ることを求められる会社も多いですが、CISOでは、これまでの経験はいったん脇に置いて、まっさらな気持ちで学ぶことを大切にしているんです。
そのうえで、これまでの経験を活かせる場面が自然と出てくる。そのように、土台からしっかり積み上げていける環境があるのがCISOの強みだと思います。
最も大切なのは、日本企業の99%を占める中小企業に対し「本当に守れる状況を作っていく」ということです。
そもそも攻撃者が日本を襲ってきたとしても、攻撃が成功せずに失敗に終わったり、被害を最小限に抑えることができれば「日本に攻撃しても無駄だ」と認識し、攻撃を止めるかもしれません。そのために「日本中にセキュリティのバリアを張り巡らせる」ことをミッションに創業した会社でもあります。
その一方で、サイバー攻撃はなくならないのも事実。かつての攻撃の対象は、PCやサーバーといった端末が中心でしたが、今はクラウドそのものを狙う攻撃が増えており、IDやパスワードの使い回しや弱いパスワードを利用している場合、端末の乗っ取りの必要なくクラウド経由で直接情報が抜き取られるケースも出てきています。そうした新しい脅威に対応すべく、クラウド領域のセキュリティ強化は必須になりますし、弊社でもこの領域に注力しています。
加えて、AIとセキュリティの関係も重要です。AIの使い方次第では、情報が漏えいするリスクも生まれます。これからは「AI×セキュリティ」の観点で、どのように安全性を担保していくのか、継続的に研究していく必要があります。
さらに、Web3やブロックチェーンといった新たな技術領域も無視できません。仮想空間において個人のアイデンティティがブロックチェーンで管理される時代が来ると、その情報が万が一ハッキングされたとき、改ざん不可能な記録の性質上、その人の過去の履歴すべてが影響を受けかねない。つまり、インターネット上での「存在そのもの」が危機にさらされる可能性があるのです。最悪の場合、IDを消すという選択を迫られるかもしれません。だからこそ、これからの時代は「アイデンティティのセキュリティ」がより重要になってくる。
CISOとしても、そうした未来を見据えた研究や技術開発に、積極的に取り組んでいきたいと考えています。
尚、「グローバルへの進出」も視野に入れています。
サイバーセキュリティにとって大切なのは、世界中の情報を集め、今の攻撃者が何を考え、どういう手法で攻撃を仕掛けてくるのかを分析・研究していくこと。つまり、国内だけで完結できる事業ではないんですね。だからこそ、海外に向けた取り組みは避けて通れないと考えています。
海外に拠点を持つのか、パートナーと連携するのか、あるいは現地法人を設立するのか、具体的な方法はまだ検討中ですが、いずれにしてもグローバル展開は視野に入れており、5年以内には形にしたいと考えています。
まず最初にお伝えしたいのは、CISOが掲げている「世界観」をきちんと知ってほしいということです。
というのも、私たちが目指す世界観に共感していただけるかどうかが、CISOに参画するうえでの入り口になります。そこに共感できない方には、正直なところ、一緒にやっていくのは難しいと思っています。
そのうえで、大切なのは、「お客様にしっかり向き合いたい」「お客様に、わかりやすく、優しく、丁寧な対応でお守りしたい」「これからの時代に必要なスキルとして、セキュリティを学んでみたい」と思えるかどうか。セキュリティは今後、誰にとっても不可欠なリテラシーになっていきますし、それを学ぶことに対して前向きでいられることが何より大事です。
また、サイバーセキュリティの分野はまだまだ世の中に知られていないことが多く、日々が学びの連続です。だからこそ「知らないことを知るのが好き」「もっと知識を深めたい」という学習意欲のある方にとっては、CISOはとても面白い場所になるはずですし、きっと力を発揮できると思います。
私がCISOで実現したいのは、「日本中にセキュリティのバリアを張り巡らせる」ことです。
「CISO」という社名は、もともと「Chief Information Security Officer(情報セキュリティの最高責任者)」を意味します。本来なら各企業がそうした責任者を持つべきですが、それが難しい企業の代わりに、私たちが「外部CISO」となって守りきる。そのための仕組みと体制を、本気でつくっていきます。
日本が好きで、日本の未来を少しでも良くしたいと思っている方。子どもたちの世代に誇れる社会を残したいと願う方。
私たちは、そんな思いを共にできる仲間と、このビジョンを形にしていきたいと思っています。興味を持ってくださった方は、ぜひ一度、話を聞いてみてください!
ー那須さん、ありがとうございました!
/assets/images/9839328/original/a64b8e0b-a47d-43a2-8b35-bfa0e89b0a80?1656988372)
/assets/images/9839328/original/a64b8e0b-a47d-43a2-8b35-bfa0e89b0a80?1656988372)
/assets/images/21522610/original/e8d98439-4bfd-4422-a4a9-3fb843bcca65?1751851917)
/assets/images/9839328/original/a64b8e0b-a47d-43a2-8b35-bfa0e89b0a80?1656988372)
