サイバーレジリエンスの人間性
私たちは通常、セキュリティを非常に技術的なものと考えます。それは事実です。しかし、良いセキュリティプログラムと優れたセキュリティプログラムを区別するものの 1 つは、セキュリティの人的側面、信頼の人的側面を重ね合わせて、より強固で、より高いレジリエンスを持つ企業を構築できるかどうかにあります。レジリエンスの構築に適用できる最大の人間性の 1 つは、逆境を乗り越える力です。私は個人的な経験からそれに気が付きました。
サーフィンからシステム障害まで
2007 年 3 月 12 日、私はハワイのワイキキにある海岸沿いのホテルで、すばらしい 1 日の始まりを迎えました。ガールフレンド、両親と共に楽しい週末を過ごし、ハワイでいとこの結婚式に出席した後ののんびりした月曜日で、休暇モードに入っていました。その日はすばらしい計画を立てていました。朝はサーフィンのレッスン、昼食にはメキシコ料理とマルガリータ、午後はマッサージ、夜はハワイ式の宴会という予定です。仕事場でも同じでしょう。私たちは皆、完璧な仕事の計画を立てます。1 杯のコーヒーを飲んで、ログインし、いくつかのメールと Slack メッセージに返信し、その日のミーティングを確認して、成果目標を設定するといった具合です。
ハワイでは心地よい太陽の光が肌を焦がし、海がきらきらと輝き、波の音が響くなかをビーチに向かって歩いていきました。サーフィンのレッスンが始まるとパドリングで沖に出て、最初の波を捕まえ、自分はどんなにかっこよく見えただろう、間違いなくガールフレンドを感激させただろうと思いました。同様に、彼女のサーフィンの腕前にも感心させられました。1時間半ほどサーフィンをした後、私たちは岸に向かいました。すると、背中が痛いことに気が付きました。サーフィンは初めてだったので、そのせいだろうと思いました。仕事場でも何かとうまくいかない日はあるものです。コーヒーは飲みかけで冷めていき、なぜかログインできず、メールは溜まる一方です。予定は遅れ、試練が訪れます。
お昼を過ぎると痛みは耐えられないほど強くなり、ついには救急車で病院に搬送され、MRI 検査を受けるまでになりました。サーフィンのレッスンを開始してから、つま先が動かせなくなるまでの間 7 時間が経過していました。体がまひし、脊髄が損傷していました。これは稀なサーファーズミエロパチーと呼ばれる症状でした。ケガや事故などではなく、波を確認するときに何度も長時間にわたりサーフボードの上で背中をそらせた姿勢をとっていたために脊髄卒中が誘発されたのです。それ以来、15 年間車いすでの生活を余儀なくされました。職場では時に、何をしてよいかわからなくなるほどの混乱が発生することがあります。障害、侵害、ウイルスが発生します。このようなことは完全にコントロールできるものではありません。
考え方を変える
個人の生活でもセキュリティ分野においても、厳しい状況、コントロールできないもの、障害に直面することは避けられません。このような避けがたい事象にどのように対応し乗り越えていくかが、失敗するかあるいは再び自分を取り戻せるかの分かれ目になり得ます。私は絶望的な状況になる可能性があった個人的な経験を思い返すことがよくあります。サイバーレジリエンスについて考えるとき、それは結果として貴重な体験でした。少し考え方を変える必要がありますが、どんなに優れたセキュリティチームでも、混乱を乗り越え、決断し、コントロールできるようになるには、3 つのポイントがあると私は信じています。
基盤: 私たちを形作る基盤と原則
私が子どもの頃、父は営業職に就いていました。以前は掃除機を販売しており、今は墓地の区画を販売しています。そしてよく断られています。1990 年式のトヨタターセルで私を学校に送るとき、父はいつも Zig Ziglar や Tony Robbins など人をやる気にさせる話し手の話を聞き、士気を高めていました。まひ状態から新たな日常に適応していこうとするなか、私は自分が楽観主義で前向きで解決志向である理由は、この子どもの頃の影響によるものだと気が付きました。「辛すぎる」、「なぜ自分が」という気持ちになったとき、解決策と希望の兆しを見つけようと気持ちを切り替えられました。
セキュリティの観点では、強固な基盤と中核を構築することほど重要なことはありません。Salesforce ではそれを「基本を押さえる」と表現しています。セキュリティリスクと脆弱性を把握し、それらに対処するためのフレームワークを構築し、計画、テスト、演習を行い、万全の体制を整えます。これは、一般的なサイバー脅威のリスクを最小限に抑えるために大きな役割を果たします。会社の基盤にどのような亀裂があり、それを補強するにはどのように取り組めばよいかを考えます。
適応: 課題を機会に変換する力
私は生活のあらゆる側面で適応していくことが必要でした。たとえば、最初にケガをしたときには、もう自立して生活できなくなる、大きくて場所をとる車いす用ワゴン車での移動を人に頼まなくてはならないと不安に思っていました。しかし私のスポーツセダンにハンドコントロールを設置するという解決策を見つけ、その後も自分で運転できるようにしました。言うまでもなく、私の気持ちもずいぶん楽になりました。ロサンゼルスの渋滞のなか、ひとりで車に座っていることの幸せをあらためて実感しました。
セキュリティの観点からは、適応力は重要なカギです。システムの問題を特定し、根本原因を解決しようとしているにもかかわらず、プロセスで常にエラーが発生しているとしましょう。代わりに次のような質問を問いかけてみたらどうでしょうか。どのプロセスがうまく機能しているのか。このプロセスをうまく機能させ、同時にリスクを軽減するには何を修正しなければならないか。これをベースにどうソリューションを組み合わせればうまくいくか。うまくいっていないことを、どのように方向転換して適応させ、自社の強みにすることができるか。
仲間: 自分の活動的な輪の中にいる人生を共にする人々
自尊心が傷つくことはありましたが、私は家族、友人、同僚からのサポートを受け入れました。さらに難しかったのは、必要なときに助けを求めることでした。悩みを聞いてもらうこと、保険適用外の高額な理学療法を受けるための資金を調達すること、祈りや実存的な対話、感謝の探求といった精神的な支援を受けることなどです。
セキュリティに関しては、法務、マーケティング、IT、オペレーションなど、ビジネスのあらゆる部分にレジリエンスを構築するために、部門横断的な作業と思考が不可欠です。私たちが協力すればするほど、セキュリティ事象が発生した瞬間やその後の対応で、互いに寄り添い、学び合うことができるのです。サイロはサイバーレジリエンスの敵です。自分の仲間は誰か、助けが必要なときに仲間に助けを求めているかどうか、自分に問いかけてみましょう。
基盤、適応、仲間。これまでになくリスクがまん延している世界に直面し、課題と逆境を素直に受け入れ協力すれば、レジリエンスを実現できます。