──もう一つ、動機づけ支援の原則も厳守すべきなのですね。
これまでの二つは技術内容と密接に関連した原則だが、動機づけ支援の原則とは、平たく言えば「人と組織の心に注意せよ」ということになる。
セキュリティ構築はインセンティブ、つまり動機づけを支援するように取り組まなければならない。自由競争の中に身を置いて、判断して行動してもらうだけでは、セキュリティの観点から見ると誤った方向に行きかねない。典型的な問題がただ乗りだ。たとえば隣の家に番犬がいて泥棒を追い払ってくれるので、うちは監視カメラなどいらない、ラッキーと、ただ乗りしてセキュリティ対策をとらないといったことと類似したことが起こりかねない。
経営者の重要課題でサイバーセキュリティはほぼトップ
──他社、あるいは業界の対策にただ乗りするような。
メカニズムとして隣り合った家とは経済取引がない。取引関係のない相手のセキュリティ行動がこちらのプレーに影響を与える。たとえばソフトウエアは最新情報によってセキュリティ対策のアップデートを随時している。それに向け業界で手を携えて最新情報を末端まで素早く反映させるよう共有のメカニズムを持たないとならない。
実際にそれがある程度成功して成果が出ている。不正ソフトウエア、つまりマルウエアの対策はその一例だ。一社で十分なデータを得られるかというと、なかなか難しい。その取り組みをできるだけ高いレベルで行うのには、一定程度以上の情報を共有する何らかの枠組みと、それに対する動機づけが重要になる。
──原則はいずれも経営判断にかかわりますね。
企業経営者層へのこの本のメッセージとして、特にセキュリティに対する取り組みをもっとリスペクトしてもらいたいとの思いを込めた。本文最後もソーシャルキャピタルのセクションで締めくくっている。米国では経営者の認識は非常に高い。多くの調査で、主だった経営者に取り組むべき重要課題としてトップ3を挙げてもらうとサイバーセキュリティはほぼトップであり続けている。
ログインはこちら