Watch the watchersものであり、不正防止の観点では、この3つのうち1つでも抑止できれば、不正防止できると言われています。関ケ原合戦で見られた小早川秀秋の裏切りにおいては、「動機」として恨み、金銭目的、恐怖があり、「機会」としては最高の制高点に陣をはっており、「正当化」できる理由づけもできたことから、3要素が揃い、不正(裏切り)に結びついてしまいました。この不正のトライアングルはサイバーセキュリティの領域においても非常に有用なフレームワークとなります。例えば、企業のサイバーセキュリティにおける内部不正行為を防ぐためには、従業員が不正行為を起こす「動機」を取り除き、実施可能な「機会」を減らし、「正当化」を困難にするような方策が必要となります。不正の「機会」を減らすためには、監視・管理を強化する必要があります。理想的には、大量のログを取得したものをAIで分析し、適切な警報を出すことが望ましいのですが、内部脅威の場合はもともと正規の操作権限を保有しているために、誤検知や見逃しが存在することが課題であり、実運用をしながら、企業ごとに各情報の重要度ランクに応じた監視・管理のテーラリングが必要となります。一般ユーザーに対しては、小さな問題でも放置せず、大きな問題へとエスカレートする前に速やかに対処する「割れ窓理論」に基づく仕組み・風土づくりや、「常時監視されている」ということの意識づけが大切となります。また、システム管理者についても、業などの牽制機能を今後検討するシーンが増加すると考えています。不正の「正当化」を減らすためには、「継続的な研修」実施が必要不可欠です。研修の観点として、私は三識(知識・意識・胆識)が大事だと考えており、これらを経営層から従業員まで全てに渡って継続的に実施することが求められると思います。●知識:セキュリティや法律に関する基本的な知識や最新の脅威の情報を身につける●意識:セキュリティ確保の重要性に対する意識向上と高い倫理観を醸成する●胆識:特にインシデント発生時に求められる緊急時に迅速かつ効果的な対応を取る勇気と決断力を身につけるや2名による同時作「動機」を減らす方策について、セミナー内では特に言及はありませんでしたが、私は、常日頃から「心理的安全性」の確保を心がけています。企業内で心理的安全性が確保されていると、従業員はセキュリティに関する懸念や新しいアイデアを自由に共有でき、組織全体のセキュリティレベルを高めることにつながると考えています。420年以上前の関ケ原合戦と現代のサイバーセキュリティは、一見無関係に思われますが、実は多くの共通点と教訓があることが分かりました。どちらも最大のリスクは「人の脆弱性」であり、動機、機会、正当化の「不正のトライアングル」のうち1要素でも防止できるように幅広い観点から対策を打つことで、不正を「しない風土とさせない仕組みづくり」が大切であると再認識しました。これからも、孫子の言葉である『敵を知り己を知れば百戦して殆うからず』を胸に、サイバーセキュリティ対策を実行・実践しつづけていきたいと思います。「機会」を減らす方策「正当化」を減らす方策「動機」を減らす方策「敵を知り己を知れば百戦殆うからず」ディスカッションの様子当日の出席者ディスカッションの様子講師の増田幸美様14Thoughts on the bridge to pass on to the future.
元のページ ../index.html#15