叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

「問題」と「課題」の使い分け

クライアントがシステムの刷新を計画する際、外部からコンサルタントとしてITプロジェクトに参画するときがあります。

その際、契約しているコンサルティング会社から言われるのは「問題と課題」は、きっちり分けて欲しいということです。

「問題」も「課題」も、基本的に解決を必要とする事柄ですが、コンサルタントは両者を使い分けします。

たとえば、プロジェクトでは、参画しているメンバー同士の相性が悪いときがあります。

そのとき本来、建設的な議論をするべき会議が、感情に左右された言い合いになることがあります。

これは、プロジェクトを進めるうえでの問題です。

ただ、メンバー同士の相性の悪さは、両者がいない酒の席では「仲悪いの、問題だよね~」と、話題になることはあるものの、プロジェクト会議でそれが議題にあがることはまずありません。

議題にあがらないということは「問題」ですが、「課題」ではありません。

「問題」は事実として存在しますが、それを積極的に解決するための対策を検討するとは限りません。

コンサルタントはプロジェクトを進めるうえで、発生するであろう数々の「問題」のなかから、目標達成のために取り組むべき具体的な取り組みを「課題」として取り上げます。

「課題」は、プロジェクトにおける目標やタスクとして成果物に残します。

情報セキュリティ対策を考えるうえでも、「問題」から「課題」の抽出は重要です。

今年の6月にKADOKAWAグループと子会社のニコニコ動画が大規模な「ランサムウェア攻撃」を受けました。

いまはオフィシャルサイトが閲覧出来ない状況は復旧しているようです。ただ、根本原因への対策を打たないと、問題自体は終息しません。

ランサムウェア攻撃は、悪意のあるソフトウェア(マルウェア)を使って被害者のデータを暗号化し、そのデータの復旧と引き換えに身代金を要求するサイバー攻撃を指します。

攻撃者は、システムやデータを暗号化します。そして、暗号を解除してほしければ、暗号通貨を支払うよう脅します。

多くの会社がサイバー攻撃の脅威を問題視してます。

しかし、ランサムウェア攻撃を受けることを「問題」と認識するだけでは、有効なセキュリティ対策を打つことはできません。

問題を口にしても、それは会社のシステムをネガティブな要素として捉えているに過ぎないからです。

ランサムウェア攻撃は、会社に多数存在するシステムの脆弱性によって引き起こされます。

サイバー攻撃の脅威を「問題」から「課題」に落とし込むには、多層的なセキュリティ対策を検討することが必要です。

ランサムウェア攻撃の基本対策は、なんといっても「バックアップ」です。

重要なデータは定期的にバックアップします。バックアップされたデータは、ネットワークから切り離して安全な場所に世代別に保管します。

ランサムウェア攻撃を受けても、バックアップを確実にとっていれば、復元が可能です。システムの利用が可能になります。

そうすれば、一部で報道がされたような、KADOKAWAが身代金を相手に支払う必要はありませんでした。

なお、データのバックアップを取得している会社は多数ですが、バックアップからの復元を行っている会社は実はあまり多くありません。

もしかしたら、バックアップを取った気になっているだけかもしれません。

バックアップと同じく、復元の訓練も定期的に実施するのが望ましいでしょう。

もちろん、バックアップを取得するだけでは、ランサムウェア攻撃そのものを防ぐことにはなりません。

攻撃者の侵入を防ぐには、ファイアウォールを適切に設定し、外部からの不正アクセスを防ぐ必要があります。

ファイアウォールを破って侵入される可能性もあります。そこで、ネットワークをセグメント化しておけば、拡散をある程度は防ぐことができます。

パソコンなどの機器への感染を防止するには、OSを定期的に更新し、常に最新のセキュリティパッチを適用しておくべきです。

こうした技術的な対策に加え、従業員の情報セキュリティのリテラシーを向上させることも必要です。

情報セキュリティ教育を定期的に実施し、トレンドとなっている脅威や、そこに必要な対策についての情報を共有することが大切です。

ランサムウェア攻撃の場合は、メールの添付ファイルを経由して感染することが多くあります。社員は不審なメールは開かないようにし、特に添付ファイルがあれば最新の注意を払うよう教育する必要があります。

ランサムウェア攻撃の脅威という問題は、問題全体をネットワークの側面、機器の側面、データ管理の側面、利用者教育の側面・・・と、問題を分割することで、解決可能な課題に落とし込むことができます。

一見、複雑で大きい問題も、小さな部分に分割すれば、理解しやすくなります。理解できれば、対策を検討しやすくなります。

コンサルタントは、大きな問題を小さく部分化するスキルが必要です。

これは、フレームワークの活用することで、鍛えられる面もありますが、日常生活のなかから問題を見つけ、部品化するトレーニングは可能だと思います。

たとえば「健康的な生活がおくれてない」と感じる人は多いでしょう。

もちろん、これは改善するべき問題です。

この問題をいくつかの部分に分けてみると、こんな感じになるでしょう。

  1. 食生活の改善
  2. 運動習慣をつける取り組み
  3. 睡眠の時間と質の向上
  4. ストレスに対する対策

部分化すると、課題が見えてきます。課題にすると、健康的な生活をおくるのに必要な行動が分かりやすくなります。