少なくとも大手企業、外資系企業のデジタル部門の中では、サイバーセキュリティ対策の重要性は認識されている。有力企業にはCISOは必ずいて、自社やサプライチェーンのセキュリティ状況に目を光らせている。

 

　次のCISOというべき人材の育成も盛んで、例えばIPAの中核人材育成プログラムは、優秀層を１年間研修に出すというハードルの高さにも関わらず、すでに400名近い卒業生がいると聞く。

 

　業界団体や大学での実務者講座も増えていて、僕もそのいくつかに講師役として参加している。先日、ある大学の比較的レベルの高い受講者に対してオンンラインでお話をして、Q&Aのコーナーになった。やはりレベルの高い質問が出て、冷や汗の出るものもあった。最後の質問が面白くて「来月、某省の外郭団体にCISO補佐として赴任します。ところが、CISOの人が全くの素人なのです」というもの。

 

　　　　　　　　

 

　おそらくはその省のキャリア官僚で、多分文系（法学部？経済学部？）。ローテーションで２年だけその席（責？）に座る。訳の分からないサイバーセキュリティなるものは、２年間何も起きないように祈り、目をつむっていればいいとお思いのようだ。

 

　この質問に対して、公式見解として「僕の付き合いのある重要インフラ企業も、ローテーション人事。ただ皆さん素人なりに熱意はあって、２年間で勉強して十分な知識を持って次の職場に移っている」といい、異動先でその知識が生きる（プラス・セキュリティ人材）メリットが、その企業にあると説明した。

 

　ただ本音としては「あなたの赴任前に、闇Webにその団体に適当な被害を与えるサイバー攻撃の依頼を出せばいい」と言いたかった。混乱が起きて、当該CISOが懲りた状況で赴任すれば「お前に任せた、俺は知らん」では済まないはず。

 

　闇Web経由でなくても、某省自身（デジタル庁でもNISCでもいい）がペネトレーションテストの一環として擬似サイバー攻撃をすればいいのかもしれませんし。