-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
あなたが、ひとつ大きな仕事を片付けたときを思いおこしてください。そういう日は気分の良いもの。不要になった資料を整理して、さっぱりとした気持ちで席につき、こんな風に考えますー「あぁ、よく頑張った!今日は定時で失礼して、自分へのご褒美にたまには映画でも見ようかな」と。
しかし、世の中そう甘くはありません。
「田中くん、ちょっと悪いが、A部門との打ち合わせ、急な用事で出られなくなってしまってネェ。18:00からの会議に代理で出席してくれるね?」 と偉い人。不自由の女神が、不気味にあなたに微笑みかけています。
サラリーマンなら、こんなとき断ることはできません。「はい、もちろんです!」あなたはそう答えます。
ブルーな気持ちで出席した会議はA部門と利害が対立して議論は平行線。どちらも譲ろうとはしません。時刻は21:00を周りました。もし映画を見に行っていたなら、エンドロールで涙が止まらず、立ち上がれない時間です。
まさか不毛な会議で椅子に縛り付けられて立ち上がれず、心で涙することになるとは思いませんでした。
こちらからA部門に歩み寄れば、会議が早く終わるかもしれないし、そして何より、A部門だって歩み寄りを見せて、うまい妥協点が見いだせるかもしれません。でもこちらが歩み寄ったことで、A部門側が、これ幸いとばかりに向こうの主張ばかり通してきたら? いつもこっちの部門ばかり煽りをくらっていて、不公平じゃないか!
さて、こんな場合、どうするのが合理的でしょうか?
あなたが歩み寄りの姿勢を見せたとしても、向こうも歩み寄ってくれるかどうかは分かりません。
向こうも歩み寄ってくれたなら、ベストな解決ができる。しかし向こうが歩み寄らなかったらーA部門ばかりうまい目をみて、こっちはひどく割を食ってしまう。お互いが断固主張していては、しかし会議ばかり続いてなにも起こらない。
この状況は、A部門から見ても全く同じだということを踏まえて、簡単な「メリット点数表」にしてみましょう。
点数が、あなたとA部門のメリットを表すとして、状況は概ねこのようなものになります。
この中で、最善の結末、最悪の結末はそれぞれ何でしょうか。小学生にも分かりますね。お互いが歩み寄るシナリオが最善で全体最適、お互いが断固主張する展開が「全体最悪」です。最善シナリオでは両者の合計メリットは20点、最悪シナリオでは両者の合計メリットが0点だからです。(ちなみにその他のセルは、両者の合計メリットは10点ですが、一方的に「裏切った」方が大きく得をします。)
ではあなたは、最善(全体最適)に近づくために「歩み寄り(妥協)」を選択するのが合理的なのでしょうか。
実はそうではありません。相手の行動をコントロールすることは出来ないからです。
A部門が歩み寄ると仮定してみましょう。あなたが得をするのはどちらですか? - A部門には申し訳ないですが、「断固主張」によってA部門にデメリットを押し付け、15点を手に入れるのが「得」ですね。
A部門が断固主張してくると仮定しましょう。あなたが得をするのはどちらですか? - 歩みよった場合、割をくらってー5点、こちらも断固主張した場合は無益な戦いとなるも0点ですから、ー5点よりはマシ、やはり「断固主張」を選ぶべきですね。
そう、あなたは、相手の出方に関わらず「断固主張」を選ぶのが得なのです。
A部門も、同じように考えます。その結果、お互いが合理的に考えた筈なのに、結果は最悪 - お互いが断固主張するパターンとなり、会議は延々と無益に続きます。
さらにその状態は、「相手が態度を変えない限り、自分から手を変えたら損をする」という、非常に手を変えづらい状況におちいっています。A部門も同じように考えますから、お互いこの状態から抜け出せません。
これは、ゲーム理論で「ナッシュ均衡」と呼ばれる状態です。
映画「ビューティフル・マインド」のモデルと言われ、統合失調症と長く戦いながらノーベル経済学賞を受賞した、ジョン・ナッシュ博士の名前を取ったものですね。
お互いが自らの利益だけを最大化しようとする、すなわち個別最適を目指した結果、その目的に対して合理的な行動の集積が、なんと「全体最悪」を招いています。
この例では、お互い歩み寄る戦略が、あなたとA部門の得点合計が20点となる、会社全体として明らかに最善の状態であるにも関わらず、断固主張しあうという不毛な状態で安定的な均衡を迎えてしまうのです。
このような状況は、色々な場面で見られます。たとえば国家同士の外交の駆け引きなどは、いわば「ナッシュ均衡のデッドロック」のために中々進まない場面はとても多いでしょう。
例えば地球温暖化の問題を考えてみましょう。この問題は、30年も前、私が子供のころから指摘されていたのに、ごく最近まで二酸化炭素排出量削減は遅々として進みませんでした。私はこれも、大国同士の「先に削減を約束したら、相手側は裏切ってこっちだけが損をするかもしれない」と相互に考えることによるデッドロック、すなわちナッシュ均衡と無関係ではないように思います。そうしている間に、キリバスやツバルといった島国は、海の底へ沈みつつあります。取り返しのつかない事態を迎えるまで、対策をすすめることは出来ませんでした。
下記は、太平洋のど真ん中にあり、赤道にほど近いキリバス共和国の現在の地図です。私はこれを見るたびに、まるで新種の凶悪なウイルスに食い荒らされた内臓を見ているようで、とても心が痛みます。
Googleマップより引用
(Map data c2015 Google Imagery c2015 TerraMetrics)
自身は二酸化炭素を大量に排出したことなど無いキリバスの人々は、自分の沈みゆく故郷を前に、大国同士の狭量なナッシュ均衡をどのような気持ちで見ていたことでしょうか。
さて、小さな問題にも大きな問題にも存在するナッシュ均衡による「全体最悪」への転落を回避するには、どうしたら良いでしょうか。
私は、大きく分けて次の2パターンしかないと考えています。
1) 上位者・上位機関によるトップダウンの調整
冒頭の会議の例では、不毛な会議に疲れ果てた挙句の果てにまだ結論が出ないなら、社長なり本部長なりが、会社全体としての明らかな全体最適解を「命令」すれば良いでしょう。この方法はてっとり早い反面、その程度の調整も部門間同士で出来ないようでは、無能の烙印を押されるし、また情けないことこの上ないですね。また外交等の場合、明確な上位者というのは存在せず、この方法を取ることができません。
2) ボトムアップの信頼醸成
幕末の時代、藩という単位はいわば「国」でした。薩摩と長州は、戦争までしてするどく対立していましたが、日本全体の最適解の必要性に迫られ、坂本龍馬の仲介で薩摩の西郷隆盛と長州の木戸孝允が話し合って手を結び、幕府を倒す決断をしました。ここでは、脱藩という形で藩を飛び出して、藩益に縛られることなく日本を考えた坂本龍馬、それを理解した西郷と木戸が、ナッシュ均衡を打ち破ったと言えるでしょう。
2x2の狭いマトリックスを打ち破るためには、上から全体最適を強制する仕組みか、でなければプレーヤー同士の信頼関係と広く判断する度量、どちらかが必要なのです。トップダウンとボトムアップ、あなたはどちらの解決策が現場力の国、日本に相応しいと思いますか?
最後に、この話と情報セキュリティの関係をご説明しましょう。
サイバー攻撃の背後に、国家的意図があるということはセキュリティ専門家の間ではもはや常識です。
年金機構で発生した情報漏えい事件はその後、実に多くの機関での同様な被害の判明・発表へと展開しました。
おそらく、侵入の手法も同じようなものだったでしょう。
この例をあげるまでもなく、同じような攻撃が来ると想定される同じような業界では、セキュリティ事案や兆候に関する情報を積極的に共有し、共同戦線を築き上げることが大切です。もし、早期に警戒情報共有が適切になされていれば、このキャンペーンで被害にあう組織は1組織で済んだでしょう。
同じ業界に属するA社とB社は、普段はライバル同士です。しかし、それは公正な市場競争環境という前提の元でのフェアな戦いであるべきです。産業機密・技術情報を盗み取り、公正な市場競争環境自体を脅かすサイバー攻撃は、いわば「環境問題」です。放っておいては、環境そのものが破壊されてしまいます。
これに対しては、関連する情報を公表・共有し、業界全体、または日本全体で共同戦線を展開することが必要です。今日のサイバー攻撃の本質は国家をバックとしたサイバー戦であり、味方同士の「内紛」を抱える余裕など無いのです。
※L社の情報=10点、X社の情報=10点、L社X社それぞれのブランドイメージを10点とした。 L社、X社それぞれ自社情報10点+ブランド10点の合わせて20点を持っている状態から、相手から情報が共有された場合にその情報の価値分の点数が増え、事故等公表にあたってはブランドイメージがー10点となる、ただし競合も同様に公表する場合にはブランドダメージが和らぎ、ー5点で済むとしたモデルによる算出。
もう説明は不要だと思いますが、L社・X社それぞれが個別最適だけを考えた場合、情報の共有は進まず、「秘匿・秘匿」の状態でナッシュ均衡を迎え、情報共有はすすみません。
結果、同じような手法で同じような業界にサイバー攻撃が繰り返され、攻撃者はやすやすと日本の産業機密や個人情報を大量に入手し、市場環境は破壊されてしまうでしょう。
日本で、自社のヒヤリハット事例や自社へのサイバー攻撃を積極的に公開していこうと決めた情報セキュリティを扱う企業が1社だけあります。当社ラックです。(https://www.lac.co.jp/security/alert/threat/index.html)
私たちは、積極的にセキュリティ事故関連の情報を公表し、共有する組織が称賛されるような土壌を日本国内に創りあげなければならないと考えていますし、そうしようとする企業の背中を後押ししたいのです。
ナッシュ均衡を打ち破る原動力となった幕末のヒーロー、坂本龍馬を気取るつもりは全くありません。
戦いである以上、勝たなければなりません。そのために「合理的な行動」を取っているにすぎないのです。
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR