サイバーテック東京 2017で興味深かったものの一つが、サイドイベントとして「IEC(Israel Electric Corporation)」のホストで主催された「Cyber Crisis Management Round Table」であった。

ラウンドテーブルについたのは以下の5名で、講師はIECのCOOであるYoshi Shnek氏。

この5名のテーブルを囲むように、数十名の聴衆が興味深く議論を見守った。

プログラムとしては、この5名が東京証券取引所に上場している「AL1」というエネルギー会社のトップマネジメントメンバーという想定である。まず、Shnek氏から、AL1企業の概要、ビジネス、顧客、IT環境等の概要が説明される。

そして、CISO（Chief Onformation Security Officer）から「社内の幾つかのコンピュータがランサムウエアに感染し、犯人と思われる人間から『暗号を解くためにはビットコインで300ドル支払え』というメッセージを受領した」という報告を受ける。

5名のマネジメントメンバーは、「お金を支払うべきかどうか？」という設問に始まり、様々な意思決定に関連する問いを投げかけられる。また、刻一刻と状況は変化し、電力メーターの障害が発生し、要求される金額も300,000ドルに増額されていく。マネジメントメンバーは、社外への情報公開をどこまですべきか？　対処するためにはシステムをダウンさせなければならないが、停電として良いのか？　そもそもビットコインでのお金の支払い方を知っている人間が社内にいるのか？　等の議論を重ね一つひとつに意思決定を迫られた。

今回の5名は、サイバー・セキュリティに関する知見のある方々で、身代金を支払ったほうが良い、という意見を述べる人はさすがにいなかった。しかし、議論する間にも状況は刻々と変化し、顧客への影響をどう考えるか、といった正解のない判断を求められる場面では、それぞれの参加者も考え込む場面もあった。

実はIECは、世界で最もサイバー攻撃を受けている企業、と言われており、その攻撃データをすべて取得しデータベース化して、対処策を検討するための知見に変えている。子会社の「CyberGym」がその知見を基にサイバー・セキュリティ対策のための演習プログラムを開発し、今回のラウンドテーブルで実施したような内容のトレーニングをIEC社内で定期的に実施している。また、外部へのトレーニングサービスも提供している。

本セッション冒頭のIEC会長Ron Talの挨拶にもあったのだが、サイバー・セキュリティの問題は、実は技術ではなく、組織のWeakest Linkを見つけ、そこを強化することにある、というのが彼等の経験に基づいたメッセージである。そして、往々にして最も弱いのは、迅速な判断と意思決定ができない経営層なのだ。

聴衆の多くも、この点には頷けるところがあったようで、ラウンドテーブル終了後にその内容を賞賛する多くのコメントが寄せられた。印象深かったのは、沖電気のチャンドラ・グプタ氏からの「この内容はサイバー・セキュリティに限らず、一般的な危機管理としてとても重要だ。日本は福島原発の事故、という最大の危機を経験しており、当時の総理大臣が現場所長の邪魔をする、という正にマネジメントの混乱を見せつけた。是非、このような演習を拡めて欲しい」という熱いコメントである。政治に関するコメントでもあるので、Shnek氏は多少戸惑ってはいたが、聴衆からは拍手が起こった。

日本では、サイバー・セキュリティ対策というと、セキュリティエンジニアの育成、各種ツールの導入、CSIRT（Computer Security Incident Response Team）の設置、といったような技術寄りの施策の議論になってしまう。しかし、サイバー先進国イスラエルでは、技術だけではなくヒューマン・ファクターの重要性が議論され、このような経営層の訓練が実施されている。日本の参加者にこのような認識を与えたことは、今回のサイバーテック東京 2017のの最も大きな成果かもしれない。