- 日本企業と海外企業のデジタルリテラシーの差は開きつつある
- サイバーセキュリティとDXを両立するために、イベント駆動型の行動からインテリジェンス駆動型の行動への変革を
- セキュリティ人材の育成にはOODA(Observe:観察、Orient:方向付け、Decide:判断、Action:行動)の戦術ループが有効
サイバーセキュリティとリスクマネジメント
まずは齋藤教授の専門分野と、具体的な取組みについてお聞かせください。
私は24年間にわたって、一貫して情報セキュリティ技術全般を専門分野としています。最近は、Webセキュリティ、Webトラッキング(ブラウザフィンガープリント)技術や、AI技術を用いたサイバー空間での追跡技術などを主な研究テーマとしています。
明治大学理工学部情報科学科の研究室では「未来技術の創出」と「高度人材育成」をテーマに、社会実装に向けた「基礎研究から社会実装まで」と、高度IT人材育成を目指す「“実務・実践”を通したメンバーの能力向上」に取り組んでいます。
また、サイバーセキュリティ研究所では、情報安全保障の観点から、狭義の技術論にとらわれないサイバーセキュリティの研究を推進しています。
2022年6月には、『マスタリングTCP/IP情報セキュリティ編(第2版)』(オーム社)を出版しました。日本企業の経営者のデジタルリテラシーは、海外の社会的リーダーのそれ比べて大きく遅れをとっているといわれます。そのため、特に第1章では、非技術系の方にも理解してもらえるよう、「情報セキュリティ」のベースラインをわかりやすく解説しています。
代表取締役を務められているレンジフォース株式会社の活動内容についてもお聞かせください。
サイバーセキュリティを取り巻く状況は、2010年頃から大きく変わってきており、現在ではサイバーセキュリティは組織運営上のリスクマネジメントを構成する1つの要素となっています。こうしたサイバーセキュリティに関する不安を、顧客の皆さまに寄り添うホームドクター・アドバイザーとして一緒に解消していくのがレンジフォース株式会社です。
各種サイバーセキュリティ関連技術の社会実装に向けた活動を行っており、プラットフォームやWebアプリケーションの脆弱性診断、サイバーレンジと呼ばれるテクニカルトレーニングシステムによる実践的なセキュリティトレーニング、次世代の認証技術・追跡技術として注目されている世界トップクラスのブラウザフィンガープリント技術、厳選したセキュリティソリューションなどを提供しています。
サイバーセキュリティを戦略に組み込む海外、狭義の技術論に終始する日本
日本企業のデジタルリテラシーは、世界的に見てどの程度のレベルにあるのでしょうか?
これはビジネス領域に限りませんが、政治家、高級官僚、国防関係者や一般メディアなどを含めて、日本のリーダー層は海外と比べて、全体的にデジタルリテラシーの水準が低いと感じています。特に、道具としてのデジタルの勘所をうまく押さえることができていない、もしくは一昔前の状況からアップデートされていない、といった印象ですね。
一部の技術系リーダーに関しても、技術論のみへの傾注や技術的なパラダイムシフトへの対応の遅れが際立ってきているように思います。
日本企業におけるサイバーセキュリティの現状についてお聞かせください。
日本のサイバーセキュリティに関しては、2010年頃に生じたフェーズの変化についていけていないように思えます。国際的な観点から見ると、国家戦略・企業戦略におけるサイバーセキュリティの占める割合が大きくなる一方で、日本国内ではいまだに狭義の技術論が主流であり、経営戦略や法制度の変化に対するリスク管理の視点や手法の習得が手薄です。
こうした背景には、デジタル産業の育成に失敗し、海外から立ち遅れたことによる諦めムードがあるのかもしれません。そのような日本を横目に見ながら、素早く情報をキャッチアップしたASEAN諸国は人材育成面で成果をあげ始めています。体制面からも、両者の差は開きつつあるように感じます。
「イベント駆動型」から「インテリジェンス駆動型」へ
コロナ禍という状況もあり、近年ではDXを進める日本企業が増えてきました。そうした中で直面するサイバーセキュリティの課題とはどのようなものでしょうか。
日本の家電や携帯電話がかつてグローバルで高いシェアを占めていたように、日本企業が技術の分野で世界をリードした時期があったことはご存じの通りです。しかしスマートフォンやAI、ビッグデータなどが普及し始めた2010年頃から、日本企業の成長スピードに顕著な遅れが見え始めました。
日本が立ち止まったわけではなく、徐々にペースが落ちてしまったようなイメージですね。そしてインターネットサービスなどが大幅に増加し、ビジネスを取り巻く社会構造が大きく変化しました。
社会構造やビジネスモデル、収益モデルが変化する中で最も大きな課題の1つとなるのが、変化に適応することです。しかし、大部分の日本企業は昔ながらのやり方に固執してしまい、人的リソースのシフトも十分に行えていない状況です。
日本は内需がある国ですから、「変化しなくてもなんとかごまかせる」と考える経営者が多いのかもしれません。また、トップダウンでの軌道修正が行いにくい“村社会構造”であることも、多くの日本企業が抱える問題でしょう。今こそ経営者自身が自らのデジタルリテラシーを向上させ、たとえ、社内から反発が起きたとしても、デジタル化への方針転換を図るべき時といえます。
海外の企業と日本企業を比較すると、対応速度に大きな差があるわけですね。
そうですね。サイバーセキュリティに限らず、変化の早い現代では、「インテリジェンス駆動型」の行動が求められます。それは情報を収集してどのようなアクションをすべきかを判断することであり、デジタル技術の進化によって、従来は処理しきれなかった大量のデータから予想モデルを策定し、行動規範を決めていくことです。
しかし、大部分の日本企業は、目に見える課題が現れてから対応する「イベント駆動型」の行動をしています。これも実は、デジタルリテラシーの低さと大きく関係しています。
「イベント駆動型」の行動と「インテリジェンス駆動型」の行動
1990年の湾岸戦争の頃、「軍事における革命(RMA:Revolution in Military Affairs)」が起こりました。その本質は「大量のデータを分析し、ターゲットを決めて実行する」ことであり、このサイクルをいかに短くできるかという点に収れんします。それはつまり、デジタルの目的そのものですよね。
しかし日本では、いまだにデータを集めることや個別の処理速度の向上に拘泥する傾向があり、このようなデジタルの基本的な議論を理解せずに個別の技術論に終始される専門家や有識者の方も散見されます。
今こそ本気でセキュリティ人材の育成を
中堅企業から大手企業の経営者は、サイバーセキュリティとDXの両立に関してどのような認識を持つべきでしょうか。
今は個人差が大きい時代ですから、一概に指摘することは難しいですね。ただ、マクロな視点では、デジタルの分野でもパラダムシフトが起こっているということを改めて認識すべきでしょう。
現代は剣と盾で戦をする時代ではなく、衛星からリアルタイムで入手した戦場の情報に対して、AIが分析やサジェスションを与えるような時代です。局所的には、オートマティックに敵味方の判別を行い、人が介在することなく戦闘が行われることもあります。グローバル化する社会のライバルは、まさにこのような世界観の中にいるといえるのです。
そのような中で、日本企業は何をすべきでしょうか。
実装レベルの視点では、人材育成が極めて重要です。たとえ方針を立てても、実装する人材が育っていなければ意味がありません。現段階では、高度人材を社外に求めることは難しいため、企業内部での育成に本気で取り組むべきです。組織の内部事情に詳しいのは、当然のことながら組織内部の人間ですから。
経営者は、目標をセットし、現場に任せ、失敗を許容し、失敗したら改善点を見つけて対処しながら、人材育成を進めていくというスタンスが必要になるでしょう。
最近は「PDCA(Plan:計画、Do:実行、Check:評価、Action:改善)ではなく、「OODA(Observe:観察、Orient:方向付け、Decide:判断、Action:行動)」というループが知られるようになりました。これは空軍パイロットの戦術ループで、「状況に素早く適用していくことが求められている」という観点から、変化の早いビジネスの文脈でも注目を集めています。
このOODAループを回して、経営者の描く目標を実現していくためにも、今後は経営者のゴール設定やビジョンがよりいっそう重要度を増すといえるでしょう。特に、変化が早く時間的な制約がある状況では、すべての選択肢を十分に検討する時間がありませんから、経営者の意思決定と実行力への依存度がより高まります。
後編へ続く
(取材・文:荒木孝一、写真:岩田 伸久)
最新情報をフォローする
