サイバーセキュリティで最も声が大きい人が、必ずしもリスクを背負っているとは限りません。責任を伴わない助言は、レジリエンスではなくノイズを生みます。
何年も前、ロンドンに滞在していた数ある機会のうちの一度、ある晩にテレビをつけました。 テレビがつくと、選挙を前にした各政党の党首による政治討論を見ている自分に気づきました。 英国の議会制度では、最も多くの票を獲得した政党の選ばれた党首が、君主によって首相に任命されます。 したがって、首相を直接選挙で選ぶわけではないものの、私は実質的に首相候補者同士の討論を見ていたのです。
討論の最中、ある候補者(私が聞いたこともない政党の出身)が、私には少しばかりばかげていると思える政策案を持ち出しました。すると、よりよく知られた政党の候補者が、こう切り返しました。「あなたは何でも好きなことを提案できますよ。どうせ勝てないし、提案を実行する機会もないのだから。」
私はその言葉を聞いたとき、巧みだと思って思わず笑ってしまいました。 しかし、もう少し考えてみると、そこにはとても重要な人生の教訓が含まれていることに気づきました。 そして今、何年も経ってこの話を思い返すと、ここには非常に重要なセキュリティの教訓もあると分かります。
その教訓とは何でしょうか。 それは、自分の提案を実行する機会が決してない人は、その提案を実行した結果に対処する必要も決してない、ということです。 言い換えれば、利害がなく、失うものがない人から出てくるアイデアは、極めて慎重に扱うべきだということです。
これは、セキュリティベンダーやセキュリティコンサルタントのコミュニティで働く私たちにとって重要な教訓だと思います。 なぜでしょうか。 対話を動かすべきなのは、誇大宣伝やヒステリーではなく、経験に裏打ちされた実用性と現実的な判断です。 当たり前に聞こえますが、残念ながら常にそうとは限りません。 願わくば、次の5つの例がその点を示す助けになるでしょう。
パニックを煽る人 – 事実ではなく恐怖を売る
私たちは皆、パニックを煽る人がいる会議に出たことがあるはずです。データに基づき、論理的で、そして/またはバランスの取れた観点から議論に臨むのではなく、その人は扇動的で危機を煽ります。パニックによって(営業であれ何であれ)プロセスを動かすことはできるのでしょうか。もちろん可能です。短期的には、そうすることで利益が出ることさえあります。問題は長期的に起こります。描かれた危機的な状況が現実にならなかったとき、信頼と自信は失われます。それは更新を含む将来のビジネスに影響します。長い目で見れば、警鐘を鳴らすよりも、リスクと脅威を正確に表現するほうがはるかに賢明です。
ハイプに乗る人 – 根拠ではなくトレンドを追いかける
どんな業界トレンドにも、突然どこにでも「専門家」が現れるように見えます。私はこうした人たちを「ハイプに乗る人」と呼んでおり、頭の中では大波に乗るサーファーのように思い描いています。ハイプに乗れば報道や称賛は得られるかもしれませんが、信頼と自信を築くことはめったにありません。そしてその両方は、健全な関係に不可欠です。ある話題がどれほど注目を集めていようとも、経験豊富で有能なセキュリティリーダーが、それだけを理由に方向性を大きく変えることはまずありません。むしろ、新しいトレンドが企業にリスクや脅威を持ち込むという証拠を見たときに、方向性を調整します。最新の波を追いかけるよりも、この考え方に沿って語りかけるほうがはるかに効果的です。
チキン・リトル – 小さなデータポイントから大きな結論を導く
童話『チキン・リトル』では、どんぐりが頭に落ちたことで、鶏が空が落ちてくると誤って信じてしまいます。鶏はその後、ほかの動物たちをパニックに陥れ、最終的にそれらの動物たちはキツネにだまされて食べられてしまいます。この物語から得られる教訓は多々ありますが、その一つは、たった一つのデータポイントから誤った結論を導き、その方向へ突き進むことの危険性です。セキュリティコミュニティでは、これに非常に注意する必要があります。時に、人は誤った方向へ突き進む傾向があります。驚くことではありませんが、このやり方は、こうしたことを何度も経験してきた熟練のセキュリティ専門家には響きません。
悲観主義者 – リスクを過大評価し、リソースを浪費する
何もかもを破滅的に描く人がいます。理論的な話としては面白いかもしれませんが、それはセキュリティ組織を運営するやり方ではありません。セキュリティリーダーは、可能な限り客観的にリスクを評価し、それらに優先順位を付け、予算とリソースの許す範囲で緩和しなければなりません。悲観主義者のセキュリティ観はまったく現実的ではありません。要するに、リスクが実際よりもはるかに高く評価されてしまいます。その結果、本来得られるべき価値を提供せず、本来緩和すべきリスクも十分に緩和しない取り組みにリソースが焼き尽くされます。経験豊富なセキュリティリーダーはこれを理解しているため、彼らと対話しようとする際に悲観的なアプローチを取っても、効果的であることはほとんどありません。
一蹴する人 – 理解しないまま解決策を退ける
あらゆる問題に解決策を見いだす人もいれば、あらゆる解決策に問題を見いだす人もいます。私たちは皆、あらゆるアイデアを退け、どれも機能しないと言い張る人に会ったことがあるはずです。もちろん、提案されるアイデアのすべてがうまくいくわけではありませんが、そのうちのいくつかはおそらくうまくいきますし、問題を解決する方法は一つとは限りません。あなたやあなたの会社が提供できるもの以外の潜在的な解決策をすべて退けても、あなたの取り組みの助けにはなりません。むしろ、あなたの製品やサービスが、セキュリティチームが望む解決策の中にどのように適合し得るのかを理解するほうが、はるかに効果的だと知ってください。
パニックや注意散漫を作り出して回るのは、一部の人にとっては楽しいのかもしれませんが、それは私たちの業界と職業にとって不利益です。パニックが収まり、分別が戻ってくれば、セキュリティ組織が集中し、取り組みを前進させるのを助ける実践的なアイデアや提案が勝ち残ります。私たちの中の現実主義者が、扇動者の叫び声をかき分けて建設的で意味のある対話を行えるようになるまでには、多少時間がかかるかもしれませんが、いずれそうなります。端的に言えば、セキュリティ実務者は、ある種の人々のように思いつくままの愚かなアイデアを何でも提案できるわけではありません。なぜなら、最終的にはそれらのアイデアの結果に対処しなければならないからです。これこそが、私の判断では、冒頭の討論の話に込められた貴重な教訓です。
翻訳元: https://www.securityweek.com/the-loudest-voices-in-security-often-have-the-least-to-lose/
