🚨 よくある誤解:「仕組みで守る=システムで守る」
情報セキュリティは“人”ではなく“仕組み”で守るべきであると言われます。
このように言われると、中には、仕組みのことを「セキュリティシステムを導入すること」と考えてしまう方もいらっしゃるかもしれません。
確かにシステムは強力な防御手段です。しかし、「システムを入れれば仕組みで守れる」という理解は誤り です。
では、システムで守れないなら人で守るのか?というと、これも誤りです。
👤 人に依存しすぎることの危うさ
社員のスキルや注意力だけに頼る体制は危険です。
- スキルを持った一部の社員しか気づけない
- スキルを持った社員が異動・退職するとノウハウが失われる
- スキルがあっても、日によっては集中力が落ち、判断がブレる
このように、人に依存する体制は不安定で、属人的な対応だけでは持続可能な防御にならないということです。
💻 システムに依存しすぎることの危うさ
逆に「システムがあるから大丈夫」と思ってしまうのも危険です。
- ゼロデイ攻撃
- カスタマイズされた標的型攻撃メール
- 社員を騙す“巧妙な指示”を含んだClickFix型攻撃
これらは、システムが検知しにくい ことを前提に仕掛けられます。
つまり、システム単体では限界があるということです。
100%攻撃を防御できるようなシステムがもし、本当に実在するのであれば、何故、毎年毎年、セキュリティベンダーは新しいセキュリティシステムを発表するのでしょうか?
セキュリティベンダーが次から次に新しいシステムを出してくるという事実。
このこと自体が、システム単体では守り切れないということを証明してしまっています。
🔑 真の「仕組みで守る」とは
セキュリティ対策における「仕組みで守る」とは、
➡️ 人とシステムが互いを補完しあう状態を作ること
具体例:
- システム … メールフィルタで不審メールをブロック
- 人 … フィルタをすり抜けたメールを見抜き、いち早く報告する社員教育
- システム … 社員がうっかり不審メールに騙されてしまってもEDRでブロック
このように、人やシステムなど、使えるものは全て使って、ある防御が突破されても、他の防御で補完できる多重構造 こそが、「仕組みで守る」ということの本当の姿です。
⚙️ 担当者が押さえるべき実務ポイント
- 教育とシステムはセットで計画する
- 「どちらを優先するか」ではなく「両方をどう組み合わせるか」を考える。
- 「どちらを優先するか」ではなく「両方をどう組み合わせるか」を考える。
- システムに“任せきり”にしない
- 検知をすり抜ける攻撃は必ず存在することを前提にする。
- 検知をすり抜ける攻撃は必ず存在することを前提にする。
- 教育は“知識詰め込み”で終わらせない
- 標的型攻撃メール訓練など、実際の行動に直結する訓練を行う。
- 標的型攻撃メール訓練など、実際の行動に直結する訓練を行う。
- 運用フローとして仕組みに組み込む
- 「不審メールを報告→システムでブロックルールを更新」といった連携を回す。
✅ まとめ
- 「仕組みで守る」とは システム導入のことではない
- 属人的な防御でも、システム単体でも不十分
- 人とシステムを組み合わせた“多重防御” が、担当者が目指すべき仕組み
🛡️ セキュリティは「人かシステムか」ではなく「人もシステムも」。
担当者の工夫次第で、組織全体の守りを“仕組み”として機能させることができます。
属人に頼らない、また、システムだけにも頼らない、人とシステムがお互いに補完しあって幾重もの防御の壁を作り上げること、そのあるべき姿は組織によって変わってくるはずです。
貴社における「あるべき仕組みの姿」とはどのようなものでしょうか?
