Day 79 「身の丈にあった」防衛 Proportional Defense ー Security That Fits
「身の丈にあった」防衛
サイバーセキュリティは、「私たちが何者であるか」、そして「私たちが何を持っているか」に、見合ったものであるべきだ
と私は考えています。
Day 78 では、私がサイバーセキュリティをどう捉えているのか、その土台となる 1つ目の概念 をお話ししました。
- 人間中心のサイバーセキュリティ
サイバーセキュリティは、サイバー空間で生き、働く 人 を守るために存在する - プロポーショナル・ディフェンス(身の丈にあった防衛)
サイバーセキュリティは、理想論ではなく、その組織が置かれている 現実 に合わせて設計されるべきである - コレクティブ・ディフェンス
サイバーセキュリティは個人の実践であると同時に、チーム、組織、産業、そして国家を越えた「共同の取り組み」である
今日は、この2つ目の概念、「プロポーショナル・ディフェンス(身の丈にあった防衛)」について、少し立ち止まって、深く考えてみたいと思います。
さあ、はじめましょう。
私がいつも受ける質問
「いろいろな組織で、いろいろな国で働いてきたんですよね。毎回、セキュリティをいちからやり直すのは大変でしょう?」
本当によく聞かれる質問です。そして、そう思われる理由も、よく分かります。
確かに私は、これまで多くの組織、多くの国、そして本当に多様な人たちと、サイバーセキュリティの仕事をしてきました。
国際機関やグローバル企業。小規模なNGOや地域に根ざした企業。テックスタートアップにも、人道支援の現場にも関わってきました。
そこには紛争地域も含まれています。そうした場所では、サイバーセキュリティは抽象論ではありません。「守れなかったらどうなるか」が、現実の人の安全や人生に直結する世界でした。
これほど異なる環境を経験してきて、私が確信するようになったことがあります。
脅威は、文脈によって姿を変える。
けれど、人間の判断は、いつも中心にある。
そして、ここでひとつ、はっきり言えることがあります。
「組織が変わるたびに、セキュリティをいちからやり直さなければならない。振り出しにもどる。」
―その前提自体が、根本的に違うのです。
基盤となる考え方は、どこでも変わりません。
変わるのは、その上に乗るものです。
文化。
制約条件。
優先順位。
働き方。
原則は変わらない。
変わるのは、仕立て方です。
私が身につけてきたのは、セキュリティを何度もやり直すことではありません。
その組織、その状況に合わせて、セキュリティを正しくフィットさせる力でした。
テーラーの仕事(The Tailor's Craft)
私は、自分のサイバーセキュリティの仕事を、よく「仕立て屋」にたとえます。
子どもの頃、私は祖父の仕事を間近で見て育ちました。祖父は腕のいい仕立て屋でした。流行を追いかけるファッションデザイナーでもなく、大量生産をする工場でもありません。東京の片隅にある、小さな店。そこにやって来るお客さんは、いつも一人ひとり違っていました。
祖父は、丁寧に測り、じっくり話を聞き、何度も調整を重ねました。
なぜなら、同じ体はひとつとしてなく、同じ人生も、ひとつとしてないからです。
それが、私のサイバーセキュリティの向き合い方です。
万人向けの「ワンサイズ」の解決策ではなく、時間をかけて、考え抜いて、その文脈に深く敬意を払いながら「仕立てる」もの。
大きな街を歩けば、両方を目にします。
チェーン店のウィンドウに並ぶ、規格化された服。そして、その合間にひっそりと佇む、手書きの看板を掲げた小さな仕立て屋。
大量生産には、確かに価値があります。効率的で、スケールしやすく、手頃な価格。
S、M、L といった平均化されたサイズで、何百万人もの人に服を届けることができます。でも、本当に仕立てられた一着を着たことがある人なら、その違いを知っています。
仕立て屋は、型紙を先に持ってきて、人をそこに押し込めたりはしません。仕立て屋が最初に見るのは、「あなた」です。
- 身長はどれくらいか
- どう動く人なのか
- どんな仕事をしているのか
- どんな場面で着るのか
- 予算はどれくらいか
- 何を着たときに、自分らしく、安心できるのか
それを理解して、はじめて布を裁つ。
これが、プロポーショナル・ディフェンス(身の丈にあった防衛)です。
多くのサイバーセキュリティの専門家が、「工場」ではなく「仕立て屋」を選ぶのは、ひとつのシンプルな真実を知っているからです。
セキュリティは、決してワンサイズではない。
私たちは何者で、何を持っているのか
プロポーショナル・ディフェンスは、2つの、とてもシンプルで、でも本質的な問いから始まります。
私たちは、何者なのか?
「本当はこうあるべきでは?」でもなく、「ベストプラクティスでは?」でもありません。問いは、もっと率直です。
―私たちは、実際のところ、何者なのか。
- 3人のスタートアップなのか、それとも5万人規模の多国籍企業なのか
- 患者の命を預かる病院なのか、プレイヤーデータを扱うゲーム会社なのか
- 厳しい規制に縛られた政府機関なのか、限られた資源で動く非営利組織なのか
- 金銭目的の攻撃者に常に狙われる銀行なのか、オープンな協働を前提とする研究機関なのか
- セキュリティ成熟度が高い組織なのか、それとも、これから歩み始める段階なのか
これらは、理想を語るための質問ではありません。
現実を正直に見つめるための質問です。
私はこれまで、IT担当が2人しかいないのに「エンタープライズ級のセキュリティ」を求める組織に出会ってきました。一方で、潤沢な予算を持ちながら、複雑さに押しつぶされ、維持できない仕組みに苦しむ組織も見てきました。
プロポーショナル・ディフェンスは、まず鏡を見ることから始まります。
なりたい姿ではなく、語られている理想でもなく、「今、この瞬間の自分たちはどういう存在なのか」を、きちんと見ること。
そこからしか、本当にフィットする防衛は生まれません。
私達は何を持っているのか
次の問いは、こちらです。
「何を守るべきか?」ではありません。問いは、もっと現実的です。
―私たちにとって、本当に大事なものは何か。
- 私たちは、どんなデータを持っているのか
- どんなシステムを運用しているのか
- 止まったら致命的なプロセスは何か
- もし侵害されたら、取り返しのつかない影響が出るものは何か
Day 68〜76 の脅威モデリングのシリーズでは、資産を洗い出し、脅威アクターを理解し、発生可能性とインパクトを測る。そのための「ものさし」をつくってきました。
プロポーショナル・ディフェンスとは、その測定結果を使って、意思決定をすることです。
私はこれまで、「すべてを同等に守ろう」とする組織を、何度も見てきました。
結果はどうなるか。
リソースは薄く広がり、焦点はぼやけ、本当に守るべき瞬間が来たとき、どこも十分に守れていない。
すべてをやみくもに守ろうとすると、人は疲弊します。
チームも、組織も、続きません。
身の丈にあった防衛は、人を消耗させません。
身の丈にあった防衛は、続きます。
だからこそ、プロポーショナル・ディフェンスなのです。
プロポーショナル・ディフェンスの3つの軸
プロポーショナル・ディフェンスは、次の 3つの重要な軸 の上で成り立っています。
①脅威の現実に比例しているか
地域の小さなパン屋が直面する脅威と、防衛産業の企業が直面する脅威は、同じではありません。
学校が向き合う敵と、暗号資産取引所が狙われる相手も、まったく違います。
それにもかかわらず、私は決して直面しない脅威を前提にした対策を導入し、本当に向き合うべきリスクを見落としている組織を、何度も見てきました。
セキュリティは、「想像上の攻撃者」ではなく、実際にあなたを狙う相手に合わせて設計されなければなりません。
②リスク許容度に比例しているか
銀行が許容できる取引リスクと、コンテンツクリエイターが許容できるリスクは、同じではありません。医療機器メーカーが受け入れられる脆弱性リスクと、ゲーム会社が受け入れられるリスクも、同じではありません。
これは「セキュリティを弱める」という話ではありません。
その文脈において、適切であるかどうかの話です。
人道支援組織では、データの機密性に対する許容度はほぼゼロです。それは、人の命に直結するからです。一方で、インフラが不安定な環境では、可用性については、ある程度の揺らぎを受け入れざるを得ない場合もあります。
金融取引の現場では、逆です。高度に管理された環境の中で、可用性に対する許容度はほぼゼロになります。
使命が違えば、許されるトレードオフも違う。
③リソースに比例しているか
セキュリティは、実際に使えるリソース―予算、人、時間、注意力に見合っていなければなりません。
大企業であれば、200人規模のSOCを運営できるかもしれません。しかし、50人のスタートアップには、それはできません。
だからといって、スタートアップが「安全でなくていい」わけではありません。
優先順位が違うというだけです。プロポーショナル・ディフェンスは、「少なくやる」ことではありません。
持っているものを使って、本当に重要なところに、力を集中させることです。
なぜ「全部を守ろう」とすると、疲弊するのか
キャリアの初期、私はこの失敗をしました。
すべてを守ろうとしたのです。
あらゆるシステム。
あらゆる脆弱性。
あらゆるユーザー。
すべてを、常に、最大限の強度で。
数か月で、燃え尽きました。
チームも同じでした。
組織も同じでした。
ユーザーはセキュリティを避けるようになり、経営層は「この投資に意味があるのか」と疑問を持ち始めました。
それだけの努力をしていたにもかかわらず、私たちは、より安全にはなっていなかった。ただ、忙しくなっていただけだったのです。
リソースは、有限です。
- 予算
- 人
- 注意力
- 時間
- ユーザーが受け入れられるセキュリティの限界
プロポーショナル・ディフェンスは、これらの制約を直視し、意図的に選択します。
- 本当に重要な「要」を、集中的に守る
- 重要だが致命的ではない資産には、適切なレベルの防御を施す
- 影響も脅威も低い部分については、計算されたリスクとして受け入れる
これは、手抜きではありません。
戦略です。
軍が国境のすべてを同じ強さで守らないように、サイバーセキュリティも、そうであるべきではありません。
基盤は、変わらない
ここで、多くの人が混乱します。
「組織ごとに仕立てる必要があるのなら、普遍的な原則など存在するのか?」
答えは、こうです。
基盤は変わらない。
変わるのは、仕立て方です。
どんなスーツでも、布があり、測り、裁ち、縫い、合わせる。
この基本工程は、どこでも変わりません。
サイバーセキュリティも同じです。
- 資産を把握する
- 脅威を理解する
- 発生可能性とインパクトを評価する
- 適切なコントロールを実装する
- 監視し、対応する
- 継続的に改善する
グローバル企業であっても、小さなNGOであっても、この土台は一緒です。
持ち運ぶのは、原則。
現場で変わるのが、実装です。
テーラーのプロセス
私がさまざまな国や組織で仕事をするとき、その一つひとつを「仕立て屋にやって来たお客さん」だと考えています。
- 観察する
文化、成熟度、制約、過去の失敗 - 耳を傾ける
経営層の不安、現場の苦労、ビジネスの目的 - 測る
資産、脅威、発生可能性、インパクト - 仕立てる
NIST や ISO などの標準を素材に、その組織に合う形に調整する
ここにあるのは、科学の中のアートです。
変われなければ、意味を失う
プロポーショナル・ディフェンスは、静止した状態ではありません。
組織は変わります。
脅威は進化します。
リソースも、優先順位も、変わります。
「これはこう作ったのだから、変えない」
そう言い張る仕立て屋は、客を失います。
文脈の変化に合わせて調整できないセキュリティは、やがて、意味を失います。
測定値が変われば、フィットも変えなければならない。
大切なのは、誰かのための最適解ではなく、今の"その組織"にとっての最適解であり続けることです。
テーラーの知恵
最後に、祖父から学んだ話をひとつ。
私はかつて、こう聞きました。
「他の人のスタイルをそのまま真似したい、というお客さんには、どう対応するの?」
祖父は、笑ってこう言いました。
「そのスタイルに"寄せた"スーツなら作れるよ。でも、それはお客さんの体に合わせて、その人の生活に合うように仕立てる"一着"だ。他人のスーツをそのまま写しても、まず合わない。着心地が悪くて、着なくなる。それでスーツのせいにする。でも本当は、最初からお客さんのために作られていなかったんだ。」
これが、プロポーショナル・ディフェンスです。
私たちは、他者から学べます。
刺激を受けることもできます。
コントロールを参考にすることもできます。
けれど、布を裁つのは、常に自分たちのためでなければならない。
まとめ
プロポーショナル・ディフェンスとは、「私たちは何者で、何を持っているのか」を理解したうえで、脅威の現実、リスク許容度、そしてリソースに合わせて、セキュリティを仕立てることです。
すべてを無差別に守るのではなく、本当に守るべきものを、持続可能な形で守る。
基盤は普遍的。
仕立ては個別。
原則は同じ。
実装は違う。
それが、プロポーショナル・ディフェンス。
動きを妨げず、それでいて、確かに守ってくれるセキュリティ。
最後に、自分自身に問いかけてみてください。
あなたは、身の丈にあった防衛をしていますか?
それとも、誰かのセキュリティを着せられているでしょうか。
ーーーー
Proportional Defense ー Security That Fits
Cybersecurity should be proportionate to what we are--and to what we have.
In Day 78, I introduced three core themes that define how I understand cybersecurity:
- Human-Centric Cybersecurity -- cybersecurity exists to protect humans in cyberspace
- Proportional Defense -- cybersecurity must align with reality, not ideals
- Collective Defense -- cybersecurity is both an individual practice and a shared responsibility across teams, organizations, industries, and nations
Today, we focus on the second theme: Proportional Defense.
Let's begin.
The Question I Always Get
"Ah, so you've worked in many organizations, in many countries--it must be hard for you to relearn security from scratch each time, right?"
I hear this often. And I understand why people think this way.
Yes, I have worked in cybersecurity across many organizations, in many countries, and with many people. My experience spans international organizations and global enterprises, as well as small NGOs and local companies. I have worked with tech startups and humanitarian operations alike, including in conflict zones--where cybersecurity is not an abstract concept, but a matter of real human safety.
Across these vastly different environments, one truth has remained constant:
Threats change with context, but human judgment is always at the center.
But here's the reality:
That assumption--that security must be relearned from scratch every time--is fundamentally wrong.
The foundation remains the same everywhere.
What changes is the surface: culture, constraints, priorities, ways of working.
The principles endure.
The tailoring changes.
What I've learned is not how to relearn security repeatedly--but how to fit security properly.
The Tailor's Craft
I often compare my work in cybersecurity to tailoring.
I grew up watching my grandfather at work--a skilled tailor. Not a fashion designer chasing trends. Not a factory producing mass-market clothing. He ran a small shop in a quiet corner of Tokyo, where every customer was different.
He measured carefully.
He listened closely.
He adjusted again and again--because no two bodies, and no two lives, were the same.
That is how I approach cybersecurity. Not as a one-size-fits-all solution, but as something that must be fitted--patiently, thoughtfully, and with deep respect for context.
Walk down any major city street and you'll see both: chain stores filled with standardized sizes, and tucked between them, small tailor shops with hand-painted signs.
Mass production has its place. It is efficient, scalable, affordable. You can clothe millions with small, medium, large. Measurements are averaged. Cuts are optimized.
But anyone who has worn a truly tailored suit knows the difference.
A tailor does not start with a pattern and force you into it.
A tailor starts with you:
- How tall are you?
- How do you move?
- What do you do?
- Where will you wear this?
- What is your budget?
- What makes you feel confident?
Only then does the cloth get cut.
This is proportional defense.
Many cybersecurity professionals choose to become tailors rather than factory workers because they understand a simple truth:
Security cannot be one-size-fits-all.
What We Are and What We Have
Proportional defense begins with two essential questions.
What are we?
Not "What should we be?"
Not "What do best practices say?"
But--what are we, actually?
- Are we a three-person startup or a 50,000-employee multinational?
- Are we a hospital handling patient lives or a gaming company handling player data?
- Are we a government agency bound by strict regulation, or a nonprofit operating under severe resource constraints?
- Are we a bank that attracts financially motivated attackers, or a research institution built on open collaboration?
- Are we security-mature, or just beginning our journey?
These are not aspirational questions. They are questions of honest self-assessment.
I've walked into organizations that wanted "enterprise-grade security" with two IT staff and a shoestring budget. I've worked with others that had massive budgets--but were drowning in complexity they couldn't sustain.
Proportional defense starts by looking in the mirror and seeing ourselves clearly--not who we wish we were, but who we are right now.
What do we have?
Not "What should we protect?"
But what actually matters?
- What data do we hold?
- What systems do we operate?
- What processes are mission-critical?
- What would cause irreversible harm if compromised?
In my threat-modeling series (Days 68-76), we built the measurement system: assets, threat actors, likelihood, impact.
Proportional defense is about using those measurements to decide.
I've seen organizations try to protect everything equally--which means protecting nothing effectively. Resources spread thin. Focus diluted. When real threats emerged, nothing held.
Defending everything blindly exhausts you.
Defending proportionally sustains you.
Three Dimensions of Proportionality
Proportional defense operates across three critical dimensions.
- Proportional to Threat Reality
A local bakery does not face the same threats as a defense contractor.
A school does not face the same adversaries as a cryptocurrency exchange.
Yet I've seen small organizations implement controls designed for threats they will never face--while neglecting the risks that actually matter.
Security must align with who truly targets you, not who you imagine might.
- Proportional to Risk Tolerance
A bank cannot tolerate the same transaction risk as a content creator.
A medical device manufacturer cannot accept the same vulnerability risk as a gaming company.
This isn't about being "less secure."
It's about being appropriately secure.
In humanitarian organizations, confidentiality tolerance is near zero--lives depend on it--while availability tolerance may be higher due to unstable infrastructure.
In financial trading firms, availability tolerance is near zero, even in highly controlled environments.
Different missions. Different tradeoffs.
- Proportional to Resources
Security must be proportionate to what you can actually afford--in budget, people, time, and attention.
A Fortune 500 company can run a 200-person SOC.
A 50-person startup cannot.
That does not mean the startup should be insecure. It means prioritizing differently.
Proportional defense is not about doing less. It is about doing what matters most, with what you have.
Why Defending Everything Blindly Exhausts You
Early in my career, I made this mistake.
I tried to protect everything. Every system. Every vulnerability. Every user. All with maximum intensity.
I burned out within months.
So did the team.
So did the organization.
Users worked around controls.
Leadership questioned the value.
And despite all that effort--we were not more secure. We were just busier.
Resources are finite:
- Budget
- People
- Attention
- Time
- User tolerance
Proportional defense accepts these limits and makes deliberate choices:
- Protect crown jewels intensely
- Secure important assets adequately
- Accept calculated risk where impact and threat are low
This isn't negligence.
It's strategy.
The military does not defend every inch of border equally.
Cybersecurity should not either.
The Foundation Remains Constant
Here's the paradox that confuses people:
If security must be tailored, how can there be universal principles?
Because the foundation is constant--the tailoring is not.
Every suit requires fabric, measurement, cutting, sewing, fitting.
Those fundamentals never change.
In cybersecurity, the fundamentals are the same everywhere:
- Identify assets
- Understand threats
- Assess likelihood and impact
- Implement controls
- Monitor and respond
- Continuously improve
From global enterprises to small NGOs, the foundation travels.
The tailoring happens on-site.
The Tailor's Process: Observe, Listen, Measure, Tailor
When I work with organizations, I treat each one like a customer entering a tailor shop.
Observe -- culture, maturity, constraints, past failures
Listen -- leadership fears, employee struggles, business goals
Measure -- assets, threats, likelihood, impact
Tailor -- controls drawn from standard frameworks, fitted to context
This is the art within the science.
Adapt or Become Irrelevant
Proportional defense is not static.
Organizations change. Threats evolve. Resources shift.
The tailor who insists, "This is how I made it, and this is how it must remain," loses the customer.
The security professional who cannot adapt becomes irrelevant.
Measurements change.
The fit must change with them.
What matters most is that security remains the best fit for them--not for someone else, not for a theoretical organization, but for who they are today.
The Tailor's Wisdom
Let me close with a lesson from my grandfather.
I once asked him, "How do you handle customers who want you to copy someone else's style?"
He smiled and said:
"I can make you a suit inspired by that style. But it will be your suit--cut for your body, suitable for your life. If I simply copy someone else's suit onto you, it won't fit. You'll be uncomfortable. You won't wear it. And you'll blame the suit--when the real problem is that it was never made for you."
This is proportional defense.
We can learn from others.
We can be inspired.
We can adapt controls.
But we must always cut the cloth to fit our organization--our threats, our people, our resources.
Closing
Proportional defense means understanding what we are and what we have--then tailoring security to fit our threat reality, our risk tolerance, and our resources.
Not defending everything blindly, but defending what matters most--effectively and sustainably.
The foundation is universal.
The tailoring is personal.
The principles are constant.
The implementation is unique.
This is proportional defense--security that fits so well you can move freely within it.
So ask yourself-
Are you defending proportionally or are you wearing someone else's security?