季節外れに暑かった5月中旬の話です。
約三か月の育休から復職してオフィスに行ったら、知り合いのAさんにばったり会って久しぶりに話をしました。そのときに、Aさんから聞かれたことがとても印象に残っているので、そのことを書いてみようと思います。
もくじ
サイバーセキュリティの話題が取り上げられるのは良いけれど
Aさんからの質問はこんな感じでした。ちなみにAさんは実績も経験も豊富なサイバーセキュリティリサーチャーです。
「最近、前よりもメディアがサイバー攻撃を取り上げるようになっていると思うんですけど。ちょっと鼓吹(こすい)するような感じもあるような?そんなことないですか?」
ふむ。面白い。なんだかサイバーセキュリティの現在地がわかるような気配がしました。その気配をひも解いてみたいと思います。
結論を先に書くと、私の考えはこの三つです。
- サイバーセキュリティの民主化が、今まさにすすんでいる。
- メディアの表現から受ける印象は「わかりやすさ」の結果であり、サイバーセキュリティの社会的進化のためには避けて通れない。
- サイバーセキュリティをポピュリズムで終わらせないためには、セキュリティリサーチャーと対話ができるマーケターが必要。
以下に詳しく書いていきます。
サイバーセキュリティの民主化
問いかけられた瞬間に私の頭によぎったのは、細谷功著「具体と抽象 ―世界が変わって見える知性のしくみ」の冒頭の文章でした。ちょっと長いですがその部分を引用します。
世の中、何ごとも「わかりやすい方向」に流れていきます。
書店には「わかりやすい…」といったタイトルの本が並び、テレビ番組も「日本語字幕」に加えて、万人に分かりやすい番組が増え、政治家にも経営者にも「わかりやすく説明すること」が求められています。
これは普遍的かつ後戻りできない、一方的な不可逆の現象のようです。
会社などの組織も、創業したばかりのときは「一人の設計者」によってできあがったものが、時の経過とともに次第に「民主化」して万人のものとなるのは歴史の常です。そうなると求められるのは必然的に、「万人へのわかりやすさ」ということになります。しかもこの状況は一度できあがってしまえば、簡単には後戻りはせず、極論すればこの状況が変化するのは、「新しいもの(人やしくみ)が古いものに取って代わる」ときだけです。この「時間経過とともに民主化される」構図は会社組織に限った話ではありません。
「わかりやすい」とは、多数派に支持されることを意味します。だからわかりやすい商品のほうが、わかりにくいものよりも売れます。したがって会社では、わかりやすいことをやる人が必ず優勢になります。選挙でも大抵「わかりやすい人」が勝ちます。
一つのしくみの中で、「わかりやすさ」は不可逆的に増殖していきます。(中略)
「わかりやすさ」の象徴が「具体性」です。本でもテレビ番組でも公演でもネットの記事でも、「具体的でわかりやすい」表現が求められ、「抽象的な表現」は多数派の人間を相手にした場合は徹底的に嫌われます。
(中略)
人間の知性のほとんどは抽象化によって成立しているといっても過言ではありませんが、すべて具体性が重視される「わかりやすさの時代」にはそれが退化していってしまう危険性があります。
私がAさんの質問から感じたのは、サイバーセキュリティの社会的進化の気配と、サイバーセキュリティ専門家が抱えるジレンマでした。
「わかりやすさ」の結果
冒頭の質問のとおり、Aさんは新聞やテレビ、ネット記事などのサイバー攻撃の取り上げ方をやや鼓吹している表現のように感じたわけですが、これは『サイバーセキュリティの民主化』が進んでいることの現れであると言えます。
ここ数年で日本でもデジタル技術が社会基盤として浸透してきました。インターネットやデジタルデバイスが生活の一部となり、令和5年時点でデジタルの民主化が達成された状態です。ここ数年で「わかりやすいDX入門」的な話が増えたのは、デジタルの民主化がBtoBで起きたからだと理解できます。
サイバーセキュリティはデジタル領域の一つなので、DXの流れでサイバーセキュリティにも必然的に民主化の流れが訪れます。私が仕事をしている中でも「経営層に対してわかりやすくサイバーセキュリティの必要性を訴えてください」という依頼が増えました。サイバーセキュリティがみんなのものとなって、「万人へのわかりやすさ」が求められる時代に入ったわけですね。
そうなると、今度はメディアの登場です。新聞やテレビなどは「マスメディア」というだけあって、多くの人に情報を伝える役割を担っています。歴史を振り返っても、マスメディアなしでは民主化は果たされません。マスメディアの力を借りながら、サイバーセキュリティは民主化に向けて前進します。「いかに具体的に、短く、わかりやすくサイバーセキュリティを話せるか」が成功の鍵となるため、抽象的な話はそぎ落とされます。このサイバー攻撃はどこの国からきているのか…深刻な脆弱性が見つかったらどうすべきか…日本企業は何をすべきか…このような難題へのシンプルな答えが、メディアには必要です。シンプルでなければ民主化は起こらないからです。こうして、わかりやすいサイバーセキュリティの表現が多くの目に触れることになり、「わかりやすいサイバーセキュリティ」による民主化は不可逆的なものとなります。
このように「民主化」の観点からメディアの役割を考えてみると、(一部の極端な表現をするメディアを除いて)その表現は何かを鼓吹しようというわけではありません。成熟した社会の価値でもあり呪縛でもある「わかりやすい表現」の結果です。ここには善悪の区別はなく、ルールとして「わかりやすいものが生き残る」だけだと考える方が正確かもしれません。
リサーチャーと対話ができるマーケターの価値
問題は、ここからどうするかです。サイバーセキュリティの民主化は止まりません。ますます「わかりやすいサイバーセキュリティ」しか生き残れない時代になります。『サイバーセキュリティをわかりやすくシンプルに説明?無理無理!そんなこというヤツはサイバーセキュリティをわかってないんだよ!』と思いたくもなりますが、やるしかないです。だってそうしないと生き残れないんですもの。
では、それを誰がやるのか。難解で複雑なものの本質を見抜いてわかりやすく説明する…これほどマーケター冥利に尽きる仕事はないでしょう。そう、ここからは私たちマーケターの腕の見せどころです。僕たちがやらずに誰がやる。「わかりやすいものしか生き残れない」という現実から目を背けずに、どんなものでもわかりやすく説明したるわいという心意気と情熱がサイバーセキュリティ業界のマーケターには必要です。当然ながらマーケティングセンスも大事です。
しかしながら、心意気と情熱、そしてマーケティングセンスがあったとしても、それだけでは民主化の壁を超えることはできません。もう一つ、必ず必要になるのが技術的な見識です。サイバーセキュリティそのものが技術を扱うものである以上、避けては通れない現実です。私見ですが、最低限の知識として「マスタリングTCP/IP ~入門編~」「セキュリティ技術の教科書」に出てくるレベルでは知っておくべきです。
私も20代のころは『いや、いうても俺はマーケターだし。一緒にやってくれるエンジニアいるし。自分がすべきはマーケ的なことっしょ!』と自分に言い訳をしながら技術的な基本教養をないがしろにしていました。最初はそれっぽいうわべの知識でやっていても、そもそも担当している業務の難易度が低いので何とかなりましたが、途中で頭打ちになりました。どんなに市場や顧客を分析してSTPを作ろうとしても、ポジショニングがとれないんですね。なぜか。自分が技術的に理解できる範囲でしか思考が広がらないので、持ちうる問題意識が浅いからです。そうなると、無意識のうちに「自分がすべきこと」が「自分がわかること」にすり替わってしまいます。それがしばらく続くと、仕事が回ってこなくなります。周りははっきり口に出すことはありませんが、「あいつは表面的な知識だけでやり過ごす奴だ」という目で見られ始めます。横着してきたツケが回ってきたなと思いました。同時に、自分が好きなマーケティングという仕事を続けるには技術もちゃんと勉強しないといけないと気付けた瞬間でもありました。
Aさんのように物事を深く理解しているリサーチャーは、先ほど例に挙げたアトリビューションや脆弱性管理、セキュリティコントロールの選定がどれだけ複雑なものかを理解しています。なぜならそこに対する広くて深い見識があるからです。マーケターはそんなリサーチャーよりも特定領域の知識がなくて当然ですが、リサーチャーが難しいと思っていることを同じように難しく思えなくてはなりません。言い換えれば、課題解決はできなくとも同じ問題意識を持つべきである、ということです。リサーチャーと対話ができるとは、同じ課題感を持てるということです。
リサーチャーと同じ課題感を持てないと、自分が理解できるものの範囲で「わかりやすさ」を追求し始めます。20代の私と同じ構図ですね。しかも民間企業は営利団体なので、一定期間内に成果を出すことが求められます。すると何が起こるかというと、「わかりやすく表現できるもの」ばかりが語られはじめます。サイバー攻撃の事例が「わかりやすい」ものの最たるものでしょう。そうすると、サイバーセキュリティの中でも「わかりやすくしやすいもの」が偏重して語られるようになり、本来あるべき姿ではないサイバーセキュリティ像が民主化されることになります。これが、民主化のワーストケースです。ポピュリズムと言ってもいいかもしれません。それを避けるためには「どのようにわかりやすくするか」よりも「何をわかりやすくすべきか」を深く考える必要があります。サイバーセキュリティのマーケターは「何を」にこだわるべきです。そしてそのこだわりは、技術的見識から生まれます。
だから、マーケターはリサーチャーと対話をしましょう。対話できるレベルになれるように技術を勉強しましょう。
長くなってしまいました。最後まで読んでいただき、ありがとうございました。
ではまた次回。
