イギリスでは政府が中国の政府系ハッカー組織、APT31がイギリスの議員や選挙管理委員会を攻撃したことを議会で公式に非難したことが大変な話題になっています。セキュリティが大変厳しい国でこのような事件が起きているということは日本にとっても示唆が多いのです。

日本の方はこのようなニュースを見て「サイバー攻撃があったのだな」という風にしか感じないと思いますが、このような大規模かつ巧妙な攻撃をイギリスでさえも防ぐことができなかったということは大変重要なことです。

なぜかと申しますとイギリスには世界的なITセキュリティ企業があり、大学でも研究が盛んで日本に比較しますと全体としてIT セキュリティに対する意識も非常に高いからです。

また、言語的や歴史的なつながりが強いためにアメリカでの最新対策というのがイギリスには早く入ってきます。アメリカとの人事交流も盛んでありますから、ITセキュリティに関しては実は日本よりもはるかに進んでいます。

さらに、日本との大きな違い としてITセキュリティに対する投資がかなり行われているということがあります。大変な訴訟社会であり非常にドライな感覚でビジネスを行う土地ですから、ビジネスに対する脅威には常に備えているところがあります。

この投資に関しては、 システムへの投資だけではなく人への投資もかなり行っています。従って、日本とかなり違いが出る部分がITセキュリティを担う人材の人件費です。

例えば、同じ業務を行っても日本とイギリスでは賃金に大きな格差があり、ITセキュリティの分野では その違いが 倍額どころか3倍や5倍になることがあります。お金が物を言う社会ですから、高い賃金を出せばそれなりに有能な人を雇うことができます。大企業や重要機能を展開する組織ほど優秀なITセキュリティの担当者を高賃金かつ高待遇で採用しています。

ところが日本の組織の方々にこのような賃金体系や待遇を説明をしても必要がないとして拒否されてしまうことが多いのです。その結果、優秀な人々は日本の組織で業務を行うことがありません。

私が日本の企業や政府の方々に申し上げたいのは、どうか強固な防御態勢を 作り上げているアメリカやイギリスのような国を研究していただきたい、ということです。

・どんなITセキュリティ人材を採用しているのか
・どのくらいの報酬を出しているのか
・どのようなシステムを導入しているのか
・実装しているフレームワークや プロセス、 内規の内容はどのようなものか？

などをじっくり研究していただきたいということです。

視点があまりにも国内向けになっており、海外では一体どんなことをやっているのかということを知らない方があまりにも多いのです。

しかし、攻撃の多くは海外からやってきますので、海外標準で防御をしておかなければビジネスが崩壊する可能性もあるのです。