サイバーレジリエンスの難しさ：ソフトスキルがその成功の鍵を握る

世界中の企業が、増大し続けるサイバー攻撃の脅威に立ち向かっています。2020年から2021年までにサイバー攻撃件数は125%増加。2021年には2億件超のレコードがセキュリティ侵害の対象になりました。中小企業は特にサイバー犯罪に対して脆弱です。1回のセキュリティ侵害で平均20万ドルの費用が発生し、被害を受けた企業の60%はインシデント発生から6か月以内に廃業に追い込まれています。    

多くの企業はシステムを保護するためにサイバーセキュリティの技術的側面のみに注力するという誤りを犯しています。被害を受けるよりも攻撃を予防する方が望ましいのは言うまでもありませんが、悪意ある犯罪者の手口は巧妙化し続けており、すべての攻撃を阻止することが一層難しくなっています。

攻撃を受ける可能性が常にあるけれども、それによる損害をいかに軽減するかが重要であるということを、企業は理解しなければなりません。攻撃から復旧して前進できるのか、それとも廃業を強いられた多くの企業に加わってしまうのか。前者に分類される企業には高い回復力、すなわちレジリエンスがあります。サイバーレジリエンスは、攻撃を受けた後も事業を継続させる力です。それを習得するには、技術スキルだけでなくソフトスキルも求められます。

このブログ記事では、以下の内容を解説します。

• サイバーセキュリティとサイバーレジリエンスの違い
• ソフトスキルの意味
  
• サイバーレジリエンスのために組織に求められるソフトスキル
  

サイバーセキュリティとサイバーレジリエンスの違い、および攻撃を軽減する上でのそれらの役割を理解することが鍵となります。

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）によるサイバーセキュリティの定義によると、サイバーセキュリティとは「ネットワーク、デバイス、およびデータを不正アクセスや犯罪利用から保護する技法、および情報の機密性、整合性、可用性を確保する手法」のことです。攻撃を予防するテクノロジの利用を中心とした、やや狭い範囲の分野を指します。組織内においては、この作業にはセキュリティチームなどの限られたグループのみが関係することになります。    

サイバーレジリエンスとは、サイバー脅威や問題に対する予防、検知、対応、復旧、フォレンジック評価の実行能力を表します。

サイバーセキュリティが狭い範囲の分野であるとすると、サイバーレジリエンスは攻撃が組織全体に及ぼしうる影響をより大きな視野で捉えようとするものです。通常、サイバーレジリエンスには企業内の複数の部門が関係し、多くの場合に以下の要素が含まれます。

• ビジネス継続性と障害復旧（BCDR）: BCDRの手法は、従来のIT障害復旧手法を、サイバー攻撃やその他の悪意ある事態の発生後も事業を継続するための方策も含むように拡大したものです。
• インシデント管理: ITチームが動作停止や攻撃の発生後にできるだけ早くサービスを通常状態に戻すために実行する手順です。
• 危機管理: レジリエンスのうち、組織の緊急事態への対応や、利害関係者および顧客への影響についての、社外広報に関する要素です。
• リスク管理: ビジネスに及ぼしうる影響を最小化するために、組織に対するリスクとそれらの発生確率を明らかにするための手法です。 

まず、ハードスキルについて定義しましょう。ハードスキルは、文章の書き方やソフトウェアのコーディングのように、教えることのできるスキルです。これに対して、ソフトスキルは、人生経験や実務経験を通して身に付くものです。米国商工会議所はソフトスキルの定義を拡大し、「これらの特徴は物事への姿勢、動機、順応性、および性格全般によって定義できる」と述べています。    

では、これらの特徴はサイバーレジリエンスとどのように関係しているのでしょうか。ここで、セキュリティ侵害のように相当長いダウンタイムにつながる予想外の事態が起こったと想定しましょう。このような状況で用いるハードスキルは、問題を解決するためのソフトウェアエンジニアリング、コーディング、システムの調査などになるでしょう。一方、ソフトスキルとしては、顧客、取引先その他の利害関係者に対して、何が起こったのかを効果的に伝える能力、および今後同様のことが起こらないように予防する方法を考察する能力などが挙げられます。

極めて高いサイバーレジリエンスを備えた組織が特に重視しているソフトスキルは次のとおりです。

チーム内だけで働くことに慣れたサイバーセキュリティの専門家は、セキュリティ侵害や悪意あるインシデントが、もっと広範な組織や顧客に対してどう影響するかについての、より大きな視点を理解していない可能性があります。しかし、彼らは組織全体に及ぶインシデントの発生時に協力して取り組むべき人を把握していません。積極的傾聴ができれば、そのような情報を得ることができます。このスキルは、話し手にしっかり耳を傾けること、そして話し手が言ったことを後で正確に振り返ることのできる力を表します。

企業は共通目標の達成のために働く多くの個人により構成されています。しかし、自分の仕事をするための情報を全員が正しく把握していなければ、この目標は達成できません。知識共有とは、個人の知識や個々の知識を、組織の知識としてまとめる行為を表します。すべての従業員と口頭で会話する必要があるわけではありませんが、レジリエンスを備えた組織は、重要な情報を共有できる場所（社内Wikiなど）を一元管理しています。その場合、個人投稿者に対して、自分の専門領域内でドキュメントのレビューや追加を行うことを奨励する必要があります。

「物は言いよう」という格言があります。言った内容ではなく言い方が大切だということです。これと同じことが、サイバーセキュリティインシデントに対処する個人にも言えます。技術チームのメンバーは、何が起こったのか、それに対して今何をしているのかについて、技術チーム以外のメンバーに説明できる必要があります。さらに、その技術チーム以外のメンバーは、その情報を一般に向けて説明できる必要があります。コミュニケーションスキルを身に付けるには、異なる分野のチームメンバー同士が、同僚が行っている作業について理解を深めようとする積極的な姿勢を示すことが求められます。

交渉とは、最初は自分に賛成していない相手と、共通理解または合意の状態に持ち込むことです。説得とは、他者に対して、ある主題について意見を変えるよう納得させるスキルのことです。これらを合わせたスキルはサイバーレジリエンスにとって重要になります。セキュリティ侵害を軽減する方法や、その状況について利害関係者に伝える方法については、多くの異なる意見が出される可能性があるからです。全員が正しいわけではありませんが、交渉力の高い人はそれぞれの考えを聞いて、彼らの見解についての正当性を示し、明確に伝えることができます。

サイバーインシデントに対処する人が、経営幹部から若い情報提供者まで、非常に広い範囲に及ぶ可能性もあります。若い従業員がインシデントの軽減のつながる極めて重要な情報を握っている場合に、その意見を言えるよう力づける必要があります。組織的なイニシアティブに貢献するよう若い従業員を力づけるのは上司の役目です。それは定期的なコーチングの機会を設けることで実現できます。

悪意ある犯罪者の手口が変わったときには、組織のサイバー攻撃への対処方法も変える必要があります。数年前には成功していた危機管理の解決策が、今も同じ結果をもたらすとは限りません。創造性のソフトスキルには、新しいものに挑戦し、その失敗を恐れない、オープンな姿勢が必要になります。このソフトスキルを身に付けるには、各個人が業界の最新情報にアンテナを張り、その知識を仕事に活かす方法について理解することが求められます。

これは、交渉と説得のソフトスキルに関連しています。説得を行うことになった場合に、前向きに自分の意見を変えて他の人が正しい場合もあると受け入れられることも同じく重要です。また、最初のプランが上手くいかない場合に、すぐに方向転換できることも重要になります。

上でも述べましたが、サイバーレジリエンスには組織全体で取り組むことになります。インシデントを解決するには、一人ひとりが前向きに組織内の他の人と協力しなければなりません。

サイバー攻撃が巧妙化し、数年前よりも大きな損害をもたらす可能性がある現在、組織ができるあらゆることを実施して、攻撃によるビジネスへの影響を最小限に抑えることが不可欠です。サイバーセキュリティの技術的側面は過去のものと捉え、サイバーレジリエンスのシステムに移行することが、今後のあらゆる事態に備えることにつながります。

Acronis Cyber Protect CloudはMSPや企業のサイバーレジリエンス習得を支援します。サイバーセキュリティ、データ保護、そしてエンドポイント、システム、データの保護管理をネイティブに統合する唯一のソリューションとなっています。Acronis Cyber Protect Cloudを活用することによって、MSPは1つの統合ソリューションでコストを抑えながら、顧客をより強力に保護できます。今すぐお試しください。