開催報告 - 設立シンポジウム 2022| CSIJ

CSIJ設立記念シンポジウム開催レポート
「デジタル時代に求められるセキュリティに向け、手を携えてともに前へ」

　サイバー攻撃に関するニュースが引きも切らない中、何らかの対策を講じる必要性を感じながらも、「何をどこまでやればいいのかわからない」「そもそも対策を実行できる人材がいない」という根本的な問題に阻まれ、苦戦している日本企業は多い。こうした現状を改善し、具体的な解決策を提案するために設立したのが「サイバーセキュリティイニシアティブジャパン」（CSIJ）だ。

　「産業構造の変化、DX化に伴うサイバーセキュリティリスクへの対策を加速させるために」というテーマで2022年6月17日に開催したCSIJ設立記念シンポジウムには、300名を超える聴講者がオンラインで参加する盛況となった。その模様をお伝えする。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

●国内ベンダーの連携を通して日本のセキュリティの底上げを

開会挨拶

　冒頭の挨拶に立ったCSIJ会長、中尾康二（国立研究開発法人情報通信研究機構サイバーセキュリティ研究所）は、サイバー環境、産業構造が変化し、さらにIoTや5G、サイバーフィジカルシステムといった新たな考え方が登場したことで、セキュリティの全体像を把握するのが非常に困難になってきていると指摘した。

　確かにISO27002をはじめとする標準はあるものの、それらを具体的な対策にどう落とし込むかとなるとなかなか簡単ではない。加えて、内閣官房が行った調査によると、実は日本におけるセキュリティアウェアネスはシンガポールやタイといった東南アジア各国よりも低い、ということも判明している。

　こうした中、セキュリティの専門家集団が集まって知見を集約し、展開していくCSIJには、大きな期待が寄せられていると中尾会長は述べた。「国内の主要なベンダーが連携し、さらには国際的な連携を通して知見を高めることによって、サイバーセキュリティのケイパビリティを底上げするという意味で期待されます」（中尾会長）。そして、実践的に活用できる対策の推進につなげていってほしいと呼びかけた。

●誰も取り残さない「Cybersecurity for All」を目指すNISC

　続けて、内閣サイバーセキュリティセンター（NISC）副センター長、内閣審議官の𠮷川徹志氏が、「最近の情勢を踏まえた我が国のサイバーセキュリティ政策について」と題して基調講演を行った。

　［講演資料ダウンロード　　］

基調講演

　吉川氏は、ランサムウェアやEmotetによる被害が急増し、海外ではウクライナ侵攻に関連した活動が活発化するなど、サイバー攻撃の洗練化、高度化に伴い、もはや一企業、一国だけでは対処できない事案も増えている中でのCSIJの設立に期待を寄せた。

　「Cybersecurity for Allという副題が付いた新しいサイバーセキュリティ戦略が、2021年9月に閣議決定されました。このAllというのは、日本国民全部、社会全部、国全部のことであり、まさにコラボレーティブなアプローチが求められる中、CSIJの発足は時宜を得た取り組みだと思います」（吉川氏）。

　新たなサイバーセキュリティ戦略の背景には、デジタル庁の設立やコロナ禍を背景としたデジタル改革の進展と、ウクライナ侵攻をはじめ、安全保障環境が激しさを増している状況がある。

　「デジタル経済の進展は利便性を高めるともに、攻撃者に狙われる弱点にもなっています。また安全保障や国家間競争の場にもサイバー空間が出てくるようになっており、あらゆる主体にとってサイバーセキュリティは自らの問題になっています」（吉川氏）。だからこそ、Cybersecurity for All、つまり「誰も取り残さないサイバーセキュリティ」という考え方の元、政策を推し進めていく必要があるとした。

　またちょうどセミナー当日には、サイバーセキュリティ戦略本部の第34回会合が開催され、ウクライナ情勢を背景に、戦略を踏まえた年次報告と年次計画「サイバーセキュリティ 2022」がとりまとめられた。「ポイントは3つです。ひとたびインシデントが起きてしまうと経済的に大きな影響があることから未然防止の強化に取り組むことと、取り残されがちな地域中小企業の対策強化、そして国際協力・連携の強化です」（吉川氏）。

　同時に「重要インフラのサイバーセキュリティに関する行動計画」もまとめられた。組織統治の一部としてサイバーセキュリティを取り入れ、組織全体で対応していくことの必要性とともに、重要インフラを担う事業者単体だけでなく、サプライチェーン全体を含めた形で守っていくことが盛り込まれている。

　特にポイントとして吉川氏が挙げたのが、企業における取り組みだ。現場の取り組みだけでは限界があることを踏まえ、経営層の関与をたびたび呼びかけてきたものの、なかなか意識に変化が見られないのが実情だ。「サイバーセキュリティを経営課題の一つとして、経営会議で議論する割合が4割をなかなか超えない状況です。また、対策のきっかけも他社でのインシデントが大半であるのに対し、アメリカでは経営層のトップダウンで進められています」（吉川氏）。情報セキュリティ報告書のような形での情報開示もなかなか進んでいない。

　背景には、サイバーセキュリティに関するコスト算出の難しさがある。これに対し政府では、サイバーセキュリティ経営ガイドラインなどを通し、コストを可視化できるツールを提供するとともに、DX促進税制の要件の1つとなっているDX認定制度の中でサイバーセキュリティに関する取り組みを見ていくといった形で、経営層の変化を促していく。重要インフラ行動計画ではさらに踏み込み、「サイバーセキュリティの措置が適切でなく、企業の損失につながった場合には、任務懈怠による損害賠償責任が問われうる」ことを明記し、進めていく方針が示された。

　このようにさまざまな取り組みが進む中、政府では「for All」というマインドで官民連携を重視していく。「今回の取り組みの成果が日本のサイバーセキュリティ全体に役立つよう、我々もしっかり連携していきたいと考えています」と吉川氏は述べ、講演を締めくくった。

●対策と人材育成、2つの分野でフレークワーク作りを推進

　CSIJではまず2つの分科会を立ち上げ、活動を開始している。セミナーではそれぞれの活動状況も紹介された。

　1つ目は「共通対策評価フレームワーク分科会」、通称「評価分科会」だ。

　［講演資料ダウンロード　　］

　分科会リーダーの奥野康城氏（ラック）は、「企業が安全にITの利活用やDX推進を進めるに当たって、現在のシステム利用状況を見える化し、課題を浮かび上がらせることによってフィットギャップを示し、安全に運用を継続し続け得るための指標となることを目的にしています」と述べた。

　　　　　　　［評価分科会リーダー　奥野氏］

　同分科会ではこの活動の第一弾として、クラウドの利活用におけるフレームワークの作成に取り組んでいる。もちろん、世の中にはすでにいろいろなフレームワークが存在するが、CSIJが作成を進めるフレームワークの特徴は、セキュリティ専業ベンダーのNRIセキュア、GSX、ラックがこれまでの実績やノウハウを集約し、国内の各種ガイドラインのエッセンスを取り入れた「安心できるもの」でありながら、「最初の一歩」としても取り組みやすいように、ベースラインとなる項目を厳選することで「使いやすさ」を実現していることにある。

　そして「ただフレームワークを作るだけでなく、評価後のレポートも提供し、経営陣への報告やパートナー企業との共有、フィットギャップの改善に活用できるようにします」と奥野氏は述べた。これによって、なかなか手のつけられなかったクラウド利用状況の現状把握から課題の見える化までを、取り組みやすい形で、また厳選した項目を使ってレポートできるようになる意義は大きい。

　さらにレポート後のサポートについても、CSIJ会員企業から有償のサポートサービスを提供することで、より詳細なアセスメントを行ったり、具体的な対応計画を支援する方針だ。今後は、このフレームワークの活用の幅を広げ、”偏差値のように自社のセキュリティレベルを他社の状況と「対比」” できるよう、Web化したシステムを作成する計画も進行中とのこと。

　もう1つの分科会は「サイバーセキュリティプロフェッショナル人材フレームワーク分科会」、　通称「人材分科会」だ。

　［講演資料ダウンロード　　］

　「人材分科会」では、長年指摘されてきたセキュリティ人材不足という課題に対し、「サイバーセキュリティプロフェッショナル」という役割を定義し、そのスキルをどうやって育成するのか？その育成プロセスまでを「人材育成フレームワーク」として可視化して公開し、アピールすることで解決を図っていく。

　分科会リーダーの長谷川剛氏（NRIセキュアテクノロジーズ）は、セキュリティ人材不足を解消する上で、「専門性と多様性」「人材の価値やレベルを図ることの難しさ」と「人材の絶対的な不足」という3つの課題があると指摘した。これに対し人材分科会では、サイバーセキュリティプロフェッショナルという業務に必要な能力や役割、レベルを定義し、価値を測れるようにすることで職業としての魅力を高め、IT業界はもちろん、異業種からの流入を促進して人材増加につなげていきたいと考えている。

　　　　　　　　　　　　　　　　　　［人材分科会リーダー　長谷川氏］

　それを具体化するツールが人材育成フレームワークだ。具体的には、インシデント対応に当たる「インシデントハンドラ」、セキュリティ診断を行う「Web/ネットワーク脆弱性診断士」、より深く入り込むテストを行う「情報システムペンテスター」、さらに「IoT脆弱性診断士」「IoTシステムペンテスター」の5つの役割を定義し、求められる知識や業務遂行能力をまとめている。それぞれに「エントリー」と「マスター」という2つのレベルを設けることで、「知っている」から「できる」へとステップアップしていく道筋を示す形だ。特筆すべきは、この道筋、「育成プロセス」をしっかり定義することにこだわっているという点だ。

　ただ人材ロールと必要なスキルを定義するだけではなく、本当にその人材を育成するために必要な知識体系や経験、またそれを積み上げていく順序、このような育成プロセスを丁寧に紐解き、フレームワークに落とし込んでいる。ここまでロールごとの具体的な育成プロセスを可視化しているフレームワークは他に類を見ない。

　さらにその先には、各分野でトップクラスの人材を集めたコミュニティ「匠の会」を作り、意見交換やさらなる能力向上につなげていく。

　人材分科会では今後、クラウドセキュリティや監視業務を行うSOCアナリストなど、他のロールについても定義していく計画だ。こうした定義を明確にすることで、「どうすれば、そういう人になれるのか」という道筋を示し、セキュリティ人材として活躍する魅力を発信するだけでなく、ひいてはセキュリティ人材の価値向上と、それと表裏一体である人材不足の解消に取り組んでいく。

分科会

●どこまでやれば「ちょうどいいセキュリティ」？　3社の専門家が本質を突く

　セミナーの最後には「～いま、企業に必要な"ちょうどよい"対策とは？～」というテーマでパネルディスカッションの時間が設けられた。CSIJの設立企業であるNRIセキュアテクノロジーズの上田直哉氏、ラックの安田良明氏、GSXの藏谷なほみ氏がパネリストとなり、一般社団法人ソフトウェア協会理事の萩原健太氏がファシリテーターを務めた。

　［講演資料ダウンロード　　］

　　　　　　　　　　　［左より、萩原氏、上田氏、藏谷氏、安田氏］

　萩原氏はまず、先日事故報告書を公表した半田病院の支援に当たった経験を踏まえ、「組織の規模によって、また業種によっても『ちょうどよさ』は変わってくるでしょう。加えてサイバー攻撃そのものも変化していますし、増えるガイドラインという現実もあります」と述べ、企業が抱える難しさについて問題提起を行い、最近特に気になるトピックを尋ねていった。

　　［一般社団法人ソフトウェア協会理事　萩原氏］

　普段から顧客の声を聞く機会の多い立場でもある藏谷氏は「どこかで言葉だけインプットされ、『CSIRTを作らなきゃ』と考えるお客様が増えています。しかし規模によってはCSIRTまでは不要で、全体的なインシデントハンドリング体制を整えるところから始めるべきケースもありますし、以前作ったCSIRTが機能していないこともあります」と、現状を指摘した。他にも、ランサムウェアやサプライチェーン攻撃に関するニュースを受けて「うちは大丈夫か、どこまで手を付ければいいのか」と心配したり、なんとなく聞いた単語を元に「ちょっとNISTの話を聞きたい」となどという依頼を受けることもあるなど、お客様が言葉に振り回されるケースは多いそうだ。

　　　　　　　　　　　　　　　　　　　　　　　［GSX　藏谷氏］

　安田氏の目下の関心事は「成長する産業と社会課題」だという。今、さまざまな業界が先端技術を活用して構造変革に取り組み、DXを推進する一方で、昨今の地政学的な状況や為替変動によって思うようにコントロールできない状況も生まれている。安田氏は「この不確実な世界の中で産業競争力を獲得しながら、自分たちの身の回りも守っていかなければなりません。特に、攻める（DXを推進する）ためにはセキュリティが必要だと思っています。業務やITを活用しやすい環境を作るには、事故が起きにくく、またセーフティやプライバシーに対する考慮も必要になります」と述べ、セキュリティが業務とITを支える屋台骨であるとした。さらにその延長線上で、国家安全保障や経済安全保障についても忘れてはならないと述べた。

　上田氏は、デジタル化とコロナ禍によって「ビジネスモデル」「働く場所」「システムの稼働場所」が変化したと振り返った。会社の中にサーバがあって仕事をする環境から、クラウドを活用し、テレワークでリモートからアクセスする働き方が広がっている。この方が利便性が高い上に、デジタルを生かした新しいビジネスモデルにも適しているが、それにともなって、サプライチェーンセキュリティやテレワークセキュリティ、クラウドセキュリティを取り巻くリスクが高まっているのも事実だという。

　　　　　　　［NRIセキュアテクノロジーズ　上田氏］

　ちなみに、藏谷氏が触れた「ちょっとNISTについて聞きたいんだけれど……」という要望は、安田氏も、上田氏も受ける場面が増えているそうだ。「たとえば日経新聞で取り上げられたり、Webで取り上げられるとすぐに気になり、『これってどうなっているんですか？』と尋ねられるケースが非常に増えています。ですが大事なのは、自分たちに合ったフレームワークを取り込むことです。自分たちの業界やサービスを踏まえ、本当に必要なものはどれかを取捨選択していくことが大事かなと思います」（上田氏）

○デジタル化にともなって浮上した「テレワーク」と「クラウド」「サプライチェーン」のリスク

　萩原氏は、上田氏が挙げた「テレワーク」「クラウド」「サプライチェーン」という3つのキーワードに沿って議論を進めた。

　まずテレワークによって何が変化したのだろうか。「今まで当たり前のように社員はオフィスにいたため、衆人環視の元で仕事をしていたのが、自宅で誰からも見えない領域で仕事をするようになりました。また、データの置き場所も、SaaSのようなクラウド環境に変わり、利便性が大きく向上しました」（上田氏）

　この変化に伴い、攻撃者が攻撃しやすくなる状況も生まれているという。攻撃者は、インターネットに開かれているクラウドサービスの入口を突破してしまえば済むため、認証・認可や接続元の制限といった対策やエンドポイントセキュリティの強化が必要であり、同時に内部不正の機会を減らすといった取り組みが必要だとした。さらにその前提として、「自社で取り扱っているデータをしっかり見極め、リスクを評価した上でどう取り扱うかを決める、つまり取り扱う情報のレベルを明確にすることが大事だと思います」と上田氏は述べた。

　藏谷氏は、そもそもITやネットワークに詳しくない従業員に対して、自宅のWi-Fiルーターなどでどう適切な設定や管理を行うかが課題になっていると述べた。従業員が自ら実施できる内容をとりまとめた「自宅のネットワーク設定ハンドブック」を配るなどの取り組みが必要だろうと指摘する。また共働きでお互いがテレワークを実施しているなどの環境によっては、仕事の会話が他方のWebミーティングに聞こえてしまうような事象にも配慮が必要だという。

　安田氏は、セキュリティインシデントの傾向が明らかに変わったことを指摘した。リモートワークの実現に向け、特権IDを持ってVPNでアクセスできるような環境を整えた結果、攻撃者に侵入され、ランサムウェアなどの被害に遭うケースも増えている。つまり「攻撃者が侵入しやすくなった前提で考えなければいけないでしょう」（安田氏）という。

　　　　　　　　　　　　　　　　　　　　［ラック　安田氏］

　テレワークと関連して注目が集まっているのが「ゼロトラスト」というキーワードだ。安田氏は、ゼロトラストに関する相談は増えているとした上で、「ゼロトラストの話をする前に、社員の身元を確認する識別や、資産・データの価値を把握し、それを元に誰がどのデータにアクセスできるようにすべきかを決めるべきです。ゼロトラスト以前にまず、現状の把握といった準備から始めるべきです」とした。藏谷氏もこれに同意し、「ゼロトラストをやる以前に、まず自分たちがどんな情報を持っており、事業の中でどういった価値を持つのかをおざなりにすべきではないでしょう」と述べた。

　2つ目の大きな変化はクラウドだ。クラウド活用に当たってどこに留意すべきかという問いに対して、まず意識すべきは「責任共有モデル」だとパネリストらは答えた。

　安田氏は「まずサービスレベルを確認し、そこに書いていないことはユーザー側が責任を持つ、ということを認識することがまず最初です」と述べた。つまり、どこまでクラウド事業者にコントロール権を委ね、どこからは自分たちのコントロール権を残さなければいけないのかをしっかり決め、ID管理やアクセス制御を実施していく必要があるという。そのとき、オンプレミス環境とは異なり、世界中に公開されている本番環境であることに留意し、安易に変更を加えると攻撃につながりかねないことにも留意すべきだとした。

　上田氏も、IaaS、PaaS、SaaSといった種類によって責任分界点は異なってくるものの、「全部クラウドサービス事業者側がやってくれ、自分たちは何もしないでいいだろうと思いがちですが、そうではありません。使う側にも使う責任は発生します。そこを理解し、機能や価格だけでなく、そのクラウドがセキュリティも含めて安心して使えるものかどうか、安全面もしっかりチェックすべきだと思います」と述べた。逆に、そこを理解した上で活用すれば、これほど便利な環境はないという。

　一方、藏谷氏は、いわゆる「クラウドにおけるシャドーIT的利用」の問題に触れた。オンプレミスのシステムならば、情報システム部門のチェックを経て導入するのが常だったが、クラウドサービスの場合、導入が非常にかんたんなため、どんなデータをどのように保存すべきかといったルールが議論されないまま、「なし崩し的に」導入され、そこにリスクが生じる。ただ、「このセキュリティチェックを通らない限り、利用は許可しません」と決めてしまうと、チェックを行う情シス部門やユーザー部門の負荷が高まり、クラウド本来の利便性が損なわれる恐れがある。その意味で「CSIJがまとめるクラウド共通評価フレームワークは、チェックにまつわる手間を簡素化し、ハードルを下げるのではないかと期待しています」とした。

　3つ目のサプライチェーンセキュリティは、「相当難しい課題です」と上田氏は述べた。「自社のこと、自グループのことはできても、サプライチェーンとなってくると統制範囲が非常に広がります。企業規模や体力、担当者のリテラシーも含め、数千、数万社にまたがって同じように対策していくのは絶対に不可能でしょう。一方で理不尽なことに、狙われるのはそのサプライチェーンの中で一番弱そうなところになるのが事実です」（上田氏）

　この状況に対し、NISTなどのガイドラインをかざして一方的に対策を押しつけても、実現は困難だろうという。「まずは自分たちの置かれている環境認識を共有することが大事だと思います。そして、テレワークの拡大に伴って充実してきたツールを生かして密なコミュニケーションを取り、継続的にセキュリティをレベルアップしていくやり方がいいのではないでしょうか」とした。

　藏谷氏も、業種・業態によって状況は異なる中、必要なものとそうでないものを精査しながら、できるだけミニマムで負担の少ない方法を考えていくことが必要だとした。一方安田氏は、米国防総省の例を挙げ、材料や設備、あるいは人材など、大事なところは国内企業で担っていくべきだとし、CSIJの取り組みの中でさまざまな対策を立案したいと述べた。

○組織と人、技術、各領域におけるセキュリティ対策のポイントは？

　こうした課題を踏まえ、企業はどのような対策を取っていくべきだろうか。萩原氏は、組織と人、技術という3つの観点から、パネリストにアイデアを求めていった。

　組織的なセキュリティ対策を進める上では、しばしば「経営層の役割」が重要だと言われる。安田氏は、「実は経営層が一番定性的で、根拠のないことを言いがちです。しかし組織的な対策を進めるためには、データに基づいて経営層が意思決定をしていく必要があります。正しい意思決定を生みやすいような組織を全体で作っていかなければならないでしょう」と、やや過激ながら当を得た指摘を行った。

　さらに「セキュリティの前にガバナンスに着目していくべきだと思います。サプライチェーンも含めて、自分たちの組織がどんな活動をしており、健全かどうかを把握できる仕組みを、若いエンジニアの力やデジタル技術を活用して作っていくことが必要ではないでしょうか」とした。

　上田氏は、セキュリティ委員会、あるいはシステム部門の一部がセキュリティを担ってきた従来の形に変わり、現場で実際にビジネスのデジタル化に取り組む人たちをいかに巻き込むかがポイントだとした。「現場のビジネスオーナーこそがリスクオーナーですから、彼らがリスクをしっかり把握した上で、現場ならではのビジネスのドライブ部分と同時に、ブレーキとなるセキュリティの取り組みを推進していかないといけないでしょう」（上田氏）。その取り組みを支援する形で、セキュリティ部門という第二線、監査組織という第三線を組み合わせたスリーラインディフェンスが存在し、さらにそれらが適切に組み合わさって機能するために経営のコントロールが必要だとした。

　次の、そしておそらく最大のポイントは「人のセキュリティ」だ。

　安田氏は、リスクマネジメントの連続がセキュリティであるとした上で、「自分の業務と、それに付随するIT環境が正しく動くためにどういうセキュリティが必要かを考え、セーフティやプライバシーに配慮できる人材が一人でも増えなければいけません。その思いを具現化するには、やはりセキュリティエンジニアが必要になってきます。その道しるべをCSIJで発信していくことが必要だと思います」と述べた。

　上田氏も「人がすべてのキモですが、一方でサイバーセキュリティの中で一番脆弱で、リスクになるのも人です。この人というものをいかに育て上げるかは非常に大事なことだと思います」とした。そして、セキュリティに関するロールを細かく分解し、それぞれの現場や役割で必要なセキュリティを細分化した上で、モチベーション付けし、教育していくプログラムが重要だとした。

　藏谷氏もこれらの意見に同意し、「技術系以外の方には、『セキュリティはとにかく難しい』というイメージが持たれがちです。今のお話のようにセキュリティのロールを分解し、セキュリティが専門でない分野であっても、それぞれの業務に必要な事柄を少しずつ学び、意識できる仕組みが必要ではないでしょうか」と同意した。

　その上ではじめて、技術的な対策を進めていくことになる。市場にはEDR、UEBAなどいろいろなキーワードが飛び交っているが、パネリストらは、大事なのはそのベースにある考え方だと指摘した。

　「最初の話に戻りますが、どこに重要な情報が置いているかが把握できなければ、どこを守るかも定まりません。どこにどんな情報を持ち、保管しているかというところから技術的対策を検討していかなければ、とにかく高くつくことになるでしょう」（藏谷氏）

　上田氏も「技術を入れたからこれで安心だ、というわけではありません。自分たちのシステム環境や提供するサービス、持っている情報の質や量を考えながら適合する技術を使い、しっかり運用していくことが重要です」とした。

　同様に安田氏も、「基本的な対策が抜けたところに新しい技術を入れても、効果は発揮できません。ID管理ができていないところにSIEMを入れてもどこでイベントが発生したかわかりません。一つ一つ積み重ねていく技術の拡張があってはじめて、セキュリティ対策は有効になると思います」と述べ、その上で正しい運用ができる仕組み作りが重要だとした。

○実は存在しない？　あらゆる企業にとって「ちょうどいい」セキュリティ

　課題は尽きず、話題も尽きないが、そもそものテーマである「ちょうどいいセキュリティ」とはどういうものだろうか。

　上田氏は、「共通的にちょうどいいセキュリティ、というものを定めるのはどう考えても難しい話です。ある企業にとってのちょうどいい対策は、別の会社からすると不足していたり、やり過ぎ感があるかもしれません。個社ごとに、自分たちの業務やシステム環境、提供するサービスや取り扱う情報の質、量を理解することで自ずとリスクが見え、その上でオーダーメイドのセキュリティ対策が必要ではないかと思います」とした。

　安田氏も、「他社の事例を耳にしてそのまま自社に適用してもうまくいきません。まずは現状を把握できる仕組みを作り、守るべきものがどこにあるのかを把握しない限り、セキュリティ対策の一歩目は踏み込めないと思います」と述べた。

　藏谷氏は、しばしば「他社さんはどうしていますか？」と尋ねられるという経験を踏まえ、「他社と同じレベルのことをしていれば安心という傾向が強いのですが、やはり現在地を把握し、自分たちにとって必要なものとそうでないものを見極めることが必要です。私たちの役割は、お客様に寄り添い、一緒になってそれを見つけていくことだと思います」とした。

　萩原氏はこうした意見を踏まえ「『ちょうどいい』というのは、最終的には現状把握と意識改革であり、今も昔も、まずは己を知るところから始まるのではないでしょうか」と議論を総括した。

　最後に安田氏は、CSIJの活動を通してコミュニケーションを取りながら、ちょうどいいセキュリティ対策の在り方や人材育成の物差しを作り、さまざまな法規制へ対応した対策を作り上げていきたいとした。

　そして、「身近に困っている方がいたら一声かけるといった感覚で、このコミュニティで活動できればと思っています。そうした活動の積み重ねが最終的には経済を豊かにし、経済安全保障や国家の安全保障につながっていくのではないでしょうか」とし、一緒に活動を盛り上げてほしいと呼びかけ、パネルディスカッションを締めくくった。