国家間サイバー攻撃に企業も巻き込まれる将来──元海外特殊部隊大佐が語る、国家絡みの犯罪の裏事情

では、「スペシャル対談　元海外特殊部隊員に記者が直撃　狙いは？ 国家間サイバー攻撃に企業も巻き込まれる将来」ということで始めさせていただきます。

まず、話者の2人について紹介いたします。ハンドルネーム「大佐」ということで、元海外で特殊部隊の大佐を務められ、狙撃手でもあり、レッドチームとしてもご活躍されて。現在は企業経営のほか、個人でもホワイトハッカーとして活躍されている大佐さんにお越しいただいています。

今お話ししている私は、日本経済新聞の記者の寺岡と申します。過去7年ぐらいセキュリティ関係に携わっておりまして、特にここ2年ぐらいはほぼセキュリティ専業の記者をしております。話者はこの2人なんですけども、私がファシリテーターを務めさせていただきます。

先ほど簡単に大佐さんをご紹介させていただいたんですが、これだけだと「なんだ、この経歴は？」という視聴者の方が多いと思うので、お話しできる範囲でちょっと深くおうかがいしていきたいなと思います。あらためてよろしくお願いします。

お願いします。

まず、海外の特殊部隊におられたということですけれども、日本の方という前提で、外国人部隊にいたわけではないんですよね。

はい、ではないです。

どういったきっかけでこういうご経歴になられたのかを、可能な範囲で教えていただけますか？

そうですね、スカウトされて行くことになりました。特殊部隊に行く前に何をしていたかは、ちょっと今は言えないんですけれども。

サイバーセキュリティのお仕事もされたと思うんですけど、狙撃手もやられていたと。

そうです。もともと幼少期にはセキュリティではなく、（狙撃という）攻撃側をやっていたわけですけれども。まあそこから筋肉を使うようなことをずっとしていたので。

（笑）。物理的なほうもですね、なるほど。

（キャリアの）スタート地点はもちろんサイバーだったんですけど。仕事の種類の延長線というか、実際に近接でもやらないといけないことが多かったので、途中で狙撃手になりました。狙撃手を一定期間やった後に、またサイバーのほうに戻ってレッドチームを指揮していたという状態ですね。

おそらく多くの方はなんとなく聞いたことはあるかなと思いますが、念のため、レッドチームではどんなことをされるのか、多少解説いただいてもよろしいですか？

わかりました。大きく分けると、「レッドチーム」と「ブルーチーム」の2つがありまして。ブルーチームは今だと民間企業のほうにも適用し始めているんですが、もともとは両方とも軍事用語でした。

わかりやすくテロを例として挙げると、基本的には、どういうテロを行うかの内容を考えて、そして行い得るかを立案・計画して、シミュレーションで実行するのがレッドチーム。

それに対して対策を立てたり、もしくは図上戦術のかたちで実際にデモンストレーション・仮想シミュレーションを行う時に、どこまで対策ができているかというのを、守る側のオペレーションとして回すのがブルーチームという話ですね。

だから、テロ対策の警備をするのがブルーチーム、テロ側がレッドチームというイメージで見てくれるとわかりやすいと思います。

いわゆるオフェンシブセキュリティの専門家でいらっしゃったのかなと思うんですけれども、やはり実際に外部への攻撃を担当されていることはあったんでしょうか？

はい、あります。

なるほど。やはりそういったミッションもご経験されているというわけですね。やはりオフェンシブという意味では、現場でものすごい修羅場をかなりくぐってこられたのかなと拝察いたします。現在はご自身で起業されて、セキュリティなどで携わっていらっしゃるということでよろしいですか？

両方ですね。もちろん軍事の部分に触れることも。

それも請け負いをされるというか。

はい。やってますし、民間企業向けのこともやってますね。

やはりオフェンシブセキュリティの観点からアドバイスをされたり。

そうですね。濃度を薄めて、「オフェンシブ『セキュリティ』」という言葉を付けたほうが、たぶんみなさんは安心すると思って。

（笑）。なるほど。実際にはオフェンシブの色合いがより強いのかもしれませんが。

セキュリティという括りの中で、オフェンス・ディフェンスというふうにしたほうが、「こいつ、やべえやつだな」という濃度は多少薄まるんじゃないかと期待はしたいところですけれども。

（笑）。そういう意味では、レッドチーミングみたいなご活動を、企業からの委託でやられたりとかも。

そうですね。もちろん企業だけではなく、ここのタイトルにもあるように、やはり国家間の情勢が今、西側と東側というふうに二元論的に分けるだけじゃなくなっています。もっとグラデーションで細かく分かれて、かなり情勢としては不安定になってきているので。

レッド・ブルー両方ができるので、その部分で意見提供をしたり、実際に作戦立案したり。もちろん実行も、内容によりますけれども多少は（行っています）。

ありがとうございます。お聞きしたいことはいくらでもあるんですけども、せっかくですので具体的なお話にも進んでいきたいかなと思います。

まず最初のテーマは、「国家背景の攻撃 VS 企業」ということで、ちょっと設定させていただきました。ディープな「国対国」の話も非常に興味深いんですけれども、今回聞いてくださっているのは企業の方が多いのかなと思いますので、あえて企業を交えた話ということで、ぜひおうかがいしてみたいです。

どんなものがあったかを一応ちょっとおさらいします。いろんな事例も思い浮かぶので、とりあえず生成AIに聞いてみたら、この3つが挙がってきました。国家背景の攻撃で、民間企業に攻撃が仕掛けられたという意味ですと、やはり走りは2009年、Googleが仕掛けられた「オーロラ作戦」というものが非常に有名かなと思います。

これも中国から仕掛けられた攻撃であると米国政府に指摘されておりまして、いわゆる中国の人権活動家の方々などの情報を得ようとしたのではないかと指摘されていますね。

それから、2014年のソニー・ピクチャーズエンタテインメント。これは北朝鮮に関する映画が、非常に当該の国を侮辱するものではないかということでお怒りになられてですね。サイバー攻撃を仕掛けたのではないかという分析がされています。これは日本の方にも非常に馴染み深いものかなと思います。

そして2017年、ウクライナへの攻撃で使われた「NotPetya（ノットペトヤ」という有名なマルウェア。これは世界にも拡散してしまいましたけれども、これによって電力会社が攻撃を受けて、停電などにつながったことがありました。

直近ではご存じの通り、ロシアによるウクライナ侵攻でまた電力会社が攻撃を受けたり、特に大きな影響があったのが衛星通信ですね。（米衛星通信大手の）Viasatというところに攻撃が仕掛けられて一時通信が止まったとか。

あるいは米国でも、先日Microsoftのサービスに対して中国から攻撃が仕掛けられたのではないかといった指摘がありました。

ここでちょっと、ぜひ大佐さんにおうかがいしたいことがあります。実際に外部へのハッキングにも関わられたということを踏まえて、こういった民間企業を狙う時は、どのようなモチベーションがあるのか。

（笑）。

どういう思考過程でターゲットを選ぶのか、あくまで一般論という前提でおうかがいができればなと思うんですけれども、いかがでしょうか？

基本的には戦略が最初にあるので。外交、それから外務について、今どういうかたちでその国とコミュニケーションを取っているかという情報を基に、軍事戦略を立てます。

だいたいの国は、基本的に軍事的な（部門）、日本だと防衛省だと思うんですけれども。それから国防省だったり、それに類する捜査当局、それからロシアだとFSB（ロシア連邦保安庁）やGRU（ロシア連邦軍参謀本部情報総局）といったところが情報作戦を組むわけですね。

その情報戦略を組んだ上で大きくラダーを分けていくと、「戦略」「戦術」「作戦」「実行」という、大きく4段階のフェーズに分かれるわけなんですけれども。戦略レイヤーの目的が何なのかというと、もちろん国ごとに秘匿されている機密情報ですし、外部のところは推察しますけれども、それが合っているかどうかは正直わからないです。

ただ、戦術目標、戦術レイヤーでの目的を設定した上でハッキング。それからワームをまいた後、ランサムウェアで身代金攻撃をするというのは、金融的な側面、それから軍事的な側面、情報の側面が複数にまたがって実行するので。

実は一つひとつはぜんぜん違うバックグラウンドが存在するので、今まとめてお話しするのは難しいんですけれども。

例えば「オーロラ作戦」にしても、ソニーにしても、「NotPetya」もその前の「Petya」もそうですし。「NotPetya」は最近「GoldenEye」と呼ぶことが多いので、「NotPetya（GoldenEye）」みたいに書いておくとわかりやすいかもしれないんですが。すべからくだいたいMicrosoft製の製品の脆弱性を突くことが多いんですね。

「オーロラ作戦」は……すみません、これは作戦レイヤーの話ですけれども、Internet Explorerを突きましたし、「NotPetya」や「WannaCry」もそうなんですけれども。

SMB（Windowsのネットワークでファイル共有やプリンター共有などを行うためのマイクロソフト独自の通信プロトコル）のエクスプロイト（不正アクセスなどに悪用される攻撃用プログラム）があって。少し前に、NSA（米国家安全保障局）が開発したエクスプロイトコードが流出して、それを利用しているのがほとんどだったりします。

目的があって、目標があって、作戦がある中で、説明が難しいところなんですけれども、国家間目的の中に民間企業が巻き添えになる。次の順序としては、まずは絶対にインフラレイヤーと金融レイヤーを狙って、その後軍事レイヤーは並列で走るので。

コアとして重要なのは、ロシアはクリミアの問題とかも並列して続いていましたから、その周辺でウクライナに対して電力問題を起こすのに加え、「NotPetya」のばらまきの75パーセントぐらいは。

その時に、会計ソフトや金融系のExcelソフトの暗号化もセットで狙っているので、わかりやすい表面上の「被害が一番出ましたよ」じゃないところで戦術目的が介在していることが多いです。

なので、民間企業は巻き添えにはなるものの、国家戦略の中で自分たちがどう被害を食らうかを推察するのは、なかなか難しい問題ではあったりします。

なるほど。なかなか推測が難しいですね。そういう意味で、やはり表には出てこないといいますか、ケーススタディも難しいでしょう。

技術的なケーススタディでいけば、もちろん可能です。ただ戦略目的からの推察というふうにすると、なかなか難しかったりはしますね。ああ思い出した、「EternalBlue」だ。

「EternalBlue」ですね。懐かしい言葉ですね。

懐かしいわ。

なかなか私もちょっと忘れていました（笑）。

SMBの脆弱性ですね。

はい、（米国家安全保障局から脆弱性攻撃プログラムが）盗まれた件ですね。やはりインフラや金融関係をご指摘されてましたけども、第一目標ではないこともあるということですか？　ここは注目されることがあるわけですか？

いや、第一目標じゃない場合もあります。重点拠点を意図的に狙い続けるというのは、国自体にもよるんですけれども、もちろん重要防護拠点でもあるので（攻撃するのが難しい場合があります）。

やはり防護体制がしっかりしていたり、ネットワークにつながらないようなかたちで、オフラインで隔絶している環境を何層にも分けて準備していたり。

守る側も重要拠点ということは認識していますから、かなり重点的に防護するわけなので、狙う順序としては確かに正しいんですけれども、難度が高い場合は後回しにすることもあります。

なるほど。それは「将を射んと欲すればまず馬を射よ」みたいな考え方なんですかね？

そうですね。あとはその国のビジネスの仕方とか、どれだけサプライチェーンが脆弱かにも影響は受けるので。

そういったサプライチェーンなどの事前の情報と言いますか。インフラのどの部分を担っているのかとか、やはり偵察なども事前の作戦立案では非常に重要ではないかなと思うんですけれども。

これもある程度、いわゆるサイバーセキュリティ部隊が、ハッキングなどを経て情報を得るものなのか、あるいはいわゆるヒューミント（人的諜報）なのか。

両方ですね。ただ、やはり情報収集はだいたい1年から3年かけます。

やはりそれぐらいのロングスパンなわけですね。

少なくとも1年ぐらいは準備しますね。

なるほど。直近の傾向として、やはり犯罪者を介した攻撃が指摘されることが多いのかなと思います。直接的に国家が支援していたり、国の軍隊とか情報部隊が養っているハッカーによる攻撃ももちろん脅威なんですけれども。表に出てきやすいものとして、サイバー犯罪者が攻撃をしてくる。

国家的意図の薄さにも、いろんなものがあると思うんですけれども。例えばコロニアル・パイプラインも日本でも大きく報道されたので、みなさまご記憶にあるかと思いますが、2021年にパイプラインが止まって、ガソリンスタンドが動かなくなるなど非常に大きな問題となりました。

この時バイデン大統領は、「ロシアが犯罪者を放置しているから起こるんだ」というような理論で批判をされていました。その後、「そんなことはないんだ」というつもりなのか、ロシア側が実際そのグループを逮捕するというような案件もありましたけれども。

そのように一部の方たちは、「これは『State Backed』ではない。背景にあるわけではないけれども、国家が放置している『State Ignored』なんじゃないか」という言い方をされていたり。

あるいは、最近よく言われている「ハクティビスト」という集団ですね。日本にも「Killnet」という集団が、DDoSの攻撃を昨年の秋に仕掛けてきましたけれども。

こういったいくつかの集団に関しては、やはりロシア政府とのつながりが指摘されていて、金銭的支援を得ているのではないかと。本当に指示を受けているのか、あるいはお金が単純に背景にあるのかとか、いろんな考え方があるかなと思います。

まだ国家的背景は指摘されてませんけれども、やはりインフラで日本が狙われた事例として、名古屋港がランサムウェアにより停止するという案件も起きました。このように犯罪者を使う攻撃もいわゆるカモフラージュで、実際には国家の戦略とかが裏に隠れているケースもあるものなのでしょうか？

ぜんぜんありますよ、むしろめちゃくちゃあります（笑）。

実際に国家がダイレクトに攻撃する時と、「いや、これはちょっと飼っている犯罪者にやらせよう」という時は、仕掛ける側としてはどういうふうに考えたり、判断しているんでしょう。

これは話しすぎると僕、犯罪者みたいにならないですか？

いや、どうですかね（笑）。

（笑）。

「こういう考え方をするものですよ」という一般論を、おうかがいできればと思うんですけど、いかがでしょう？

やはりIPアドレスを逆探知しまくると、ある国のIPアドレスでしたというのはザラにありますし。それこそイランの時のやつでアメリカ政府が、というのは有名な話じゃないですか。

「Stuxnet（スタクスネット：米国とイスラエルが共同で、イランの核施設にある遠心分離器を制御するシステムを攻撃する目的で作ったとされるマルウェア）」ですね。

はい。「Stuxnet」もアメリカだし、それこそ「EternalBlue」だってNSAが開発元じゃないですか。だから製造が直接的に軍事機関がどうこうというのは、やはり実際あるんですよ。ウクライナ侵攻前に衛星をというのも当然国策ですし、イチ犯罪集団が勝手にやるほうがむしろ少ないので（笑）。

そういう意味では多かれ少なかれ、つながりはあるだろうと。

うん。少なかれじゃないですね。国によります。

国によりますか（笑）。なるほど。

本当に国によります。だから「国によっては」というカッコ書きつきですけれど、「多かれ」ですね。

なるほど。やはり多く指摘されるのはロシアかなという感覚ではありますが、それに限らず。

国名を出すと非常に微妙なんですけれども、ロシア、バングラデシュ、中国、北朝鮮、ベラルーシ……いっぱいあるな。でも、政府自体が支援するというのはぜんぜんあります。

攻撃に使う部分がどうしても取り沙汰されるんですけれども、防御に使う動きももちろん並列してあるわけなので。いわゆるクレンジングというやつですが、悪いことをした人間も司法取引をしたりとか。

不逮捕特権ではないんですけれども、基本的には司法取引ですよね。そういう捜査当局に対して協力することによって、過去の罪を消しましょうと。

なるほど。飼いならすと言いますか。

そうです、そうです。なんだったら黒いまま、いわゆる政府とのつながりがない状態で、「政府の意図を汲んでやりなさい」のほうが都合がいい場合もあるので。

企業としては、こういった攻撃者からどうやって身を守るか。純粋な犯罪行為が仮にあったとして、その場合は当然“投資性”と言いますか、どれだけコストをかけるかが犯罪者側からすると問題になってくる。やはり攻撃手法にある程度限定的なものも出てくる可能性があると思います。

仮に国家の背景が色濃い場合は、目的達成というのが非常に色濃くあって。予算や人材、あるいは使える脆弱性も、ふんだんではないでしょうけど、相手によっては、ゼロデイ（発見された脆弱性を解消するための対策が提供される前に行われるサイバー攻撃）を使っても惜しくないということで徹底してきたり。

そういう意味では、非常に難しい相手かと思います。技術的な違い、高機能・高度さ、それに対してどのように企業が守りを固めるべきかもおうかがいしたいんですが、いかがでしょうか。

守りで言うと、本当にテンプレートみたいな話にはなるんですけれども、持っている資産の優劣をつける。これは情報資産も含めてですけれども、どれが重要でどれが重要でないのかは、国の範囲でいけば、例えば特定防衛秘密とか。いわゆる秘密にもランクがあるわけですね。

そういうものを、企業としてはまず整理しましょうと。自分たちが持っている資産の整理ですね。セキュリティ・クリアランスとも言うんですが、自分たちの資産を整理する前にそもそも可視化が進んでない企業さんもいらっしゃるとは思うので。

「ちゃんと持っているかどうかわからない」という企業さんもいらっしゃると。

そうです。一番最初でいくとですね、まず可視化しましょう。そして整理して、「優先順位をどういうふうにつけていいかもわからない」という企業は、それがわかっている人のサポートを得て、優先順位づけをしましょうと。

その後は、「今やっている対策は何ですか？」というのを整理しましょう。その対策が十分であるか・不十分であるかを見極めましょう。その対策が十分であると自分たちが理解した上で、本当に十分かどうか。

それこそレッドチーミングができる企業とか、一部分で言えばペネトレーションテストとかフィッシングメールに、ちゃんと従業員のリテラシーが足りているのかどうかは、一番最後にちゃんとチェックしましょう。そして、今言った一連の流れを継続的に確認しましょう。

テンプレではあるんですけれども、これがやらないといけないことではあります。なぜなら作る側もアップデートするからですね。時代や顧客のニーズ、市場環境全般の変化が正直20年前、30年前に比べると圧倒的に早くなっているので。

企業側も即時対応ができるようにというかたちで、例えばアジャイル開発とか、さまざまなものづくりにしろサービス提供にしろ、「PDCAを早く回すんだ」って、いろいろな思考フレームワークみたいなものが乱立していると思います。

すべからく言っていることとしては、時代の変化も顧客のニーズの変化も早くなっているので、企業はそれにチューニングを合わせるために逐次回転させていきましょう、対応していきましょうという話です。そういうふうに世の中全体がぐっと傾いていると思うので。

正の側面で言うと確かに良いことなんですけれども、負の側面としては、その対策も同じだけの速度でやっていかないと、ひずみがより大きくなるということですから。そういった部分での対策もやっていかないといけないですよというのが、一般的な対応の考え方にはなりますね。

up-to-dateが非常に重要ということですね。私もいろんな海外のベンダーさんとお話をしていて、日本企業も非常にセキュリティ意識は高くなってきているけれども、やはり一部の企業でそういう部分が問題となっているとよく耳にするので、非常に重要なお話かなと感じました。

1つだけ補足すると、めちゃくちゃわかりやすいのは、家で考えると雨漏りが最も起きやすい場所は常に接合部です。

みなさんが自分の会社や個人の家でもいいですけれども、増設もしくは改築を繰り返している家だと考えてみると、改築部分や増設部分が最も雨漏りをしやすい部分です。雨漏りを起こしたい人たちは、そういう部分を常に探しているので、そこに意識を向けることが特に大切かなと思います。

そうすると、ベンダーさんが違うと、よりそういった危険性が高くなりそうですね。

キメラみたいなシステムがめちゃくちゃあるんでね。

（笑）。非常に重要なお話をいただいたかなと思います。

では、次のテーマにちょっと話を進めたいと思います。今、企業が国あるいは国と関わりのある攻撃者からどう身を守るかという話について考えました。

この時に、具体的なソリューションもそうなんですけれども、どのように予算を確保するか、人を確保するかは永遠の課題かなと思っております。このような課題は多かれ少なかれ、どのような企業さんも持っていらっしゃるのではないかなと思います。

まして国が背景になった場合はインフラの企業が対象になり、さらにそのサプライチェーン。先ほど大佐さんも「弱いところを狙う」というお話をちょっとされていたかなと思うんですけれども、ある程度サプライチェーンまで考えると、やはり予算が非常に乏しい企業にも、ある程度セキュリティの問題が降ってくる。

その中でどのように予算を確保し、どこに投資すべきか・すべきじゃないかを考えていかなくてはいけないのじゃないかなと思うんですけれども。

大佐さんは企業の方、クライアントにも助言をされるお立場にあるかと思うんですけれども。企業さんはどのようなところで悩んでいらっしゃるのかというところを、おうかがいできればなと思うんですが、どうでしょう？

日本の方に多いかもしれないですけど、この悩みに関してはわりとみなさん似たような感じですね。だいたい同業他社がどれぐらい投資しているかという話で選ばれる方が多いんですが、一番最初に重要なのは「自分たちが持っているものは何で、それが出回るとどういう被害が起きるのか」を算出することです。

予算と投資判断のフレームワークはほぼ同じなんですが、何か投資を行う、いわゆるプラスの側面の意思決定を経営陣が考える時には、この事業もしくはこの製品、このビジネスにいくら投資するといくら返ってくるかという収益率計算をします。それで部下や役員かもしれないですが、（経営陣は）「こんなんじゃわかんないよ」とだいたい言うわけですね。

ただし、守る側となった時にはみんな一辺倒で、やはり（現場が）知識を持っていて経営陣に提言したり、経営陣自体がセキュリティの知識、情報の知識を持っているケースは、日本だとまだ多くはないです。

なので、どういうふうにしていいかわからないんだけれども、とりあえず不安を煽られる。「これを入れとけば本当に大丈夫なのか？」と確認するんだけれども、「いや、ベンダーが大丈夫と言っていました」「担当者は大丈夫と言っています」みたいな、自分の中でかみ砕いて話せる人がまず少ないと思います。

そうしたら、経営陣としては「そんなふんわりしたのを入れなくても、うちはまだ被害に遭ってないんだから、まだやらなくてもいいんじゃないか？」。なんなら一番ひどいのは、「うちなんか狙わないよ」と錯覚する。

（笑）。なるほど。

このケースに陥ることがやはり多々あります。セキュリティの担当者の方もそうですし、もしかしたらセキュリティのビジネスをやっていらっしゃる方も、そういうふうに（一番最初にやるべきことを）言っていくことで、この国全体のレベルは上がっていくと思うんですが。

自分たちが持っている情報がどの程度流出したら、どんな被害や犯罪に使われる可能性があるのかという、被害額の想定シミュレーションおよび根拠を作る。これがまずファーストフェーズです。

一番最初の「自分たちが持っている資産は何ですか？」ということすらわからなかったら、そもそもふだんの正の側面の投資をどうやって意思決定しているのか、僕にはわからないんですけれども。

負の側面だったとしても、正の側面だったとしても、今の自分たちが持っている資産は何で、その中で重要なものは何かというのは、すべからく全員が把握する必要があると思っています。そこすら終わってない企業は、まずそこからやりましょう。

情報整理が終わっている企業は、次のステップはわりとシンプルです。その情報がネット上で流出しようが、従業員が持ち出そうが、犯罪者が突然USBを挿しにきても、どの経路かはあんまり問題ではなくて。

流出した時に、どのような副次的な被害があるのか。これは一次被害、二次被害、三次被害というふうに分けられるんですけれども。自分たちが直接で、株主や経営陣が負う責任・被害、そして取引先が負う被害、そしてユーザーが負う被害をちゃんと整理した上で、どのような被害が起き得るか。

その被害の規模はどれくらいか。それに伴う責任がまたブーメランするので、それはどれぐらいかという見積もりをする必要がありますよねと。それ自体を防ぐために、どれぐらいのコスト、バジェットを準備しておくかという順序になります。

ほとんどの方は先にバジェットを獲得しないといけないとか、知識が足りなくて被害の想定ができない。これは人間関係を除けばほぼ情報の格差ですから、そういった部分の算出根拠もわからなければ、どういった犯罪が起きるのか、どのような被害が来そうなのかがわからないので決められない。

でも予算を取らないと、自分たちの部署の活動が云々というパラドックスに陥っているだけなので。情報を提供して被害をシミュレーションしてもらうだけでもぜんぜん違うと思いますし。

僕は日本はあまり詳しくないんですが、そういった被害シミュレーションをちゃんとやってくれる会社さんがいらっしゃるんであれば、そういうところに頼む、もしくはわかっている人にアドバイスを求めるのがいいんじゃないかなと思います。

日本でよく言われるのがですね、セキュリティの予算を単純なコストとして考えてしまう傾向が非常にあると。それをいかに戦略的な投資にするか、自身のビジネスの発展にとって必要なことだとマインドセットを切り替えるか。

日本企業はできてはいないのか、あるいはできている企業は何が違うのか。これは大佐さんの目から見ていかがでしょうか？

本来だったら、やはり行っている対策を公言したり、自分たちが持っている情報資産はこれぐらいのシミュレーションで、それが流出したらこれぐらいの被害になるというのを、自分たちのデータとしても持っていていいでしょうし。上場会社だったら、有価証券の報告書とかIRで言ってもいいんじゃないかと思います。

例えばここ数年で発生している、わかりやすい被害みたいなところで言うと「SIMスワップ（不正に複製されたSIMカードでスマートフォンの契約者になりすます犯罪）」とかですね。

電話番号や住所情報さえあれば、（SIMカードを）切り替えられてしまう被害もそうなんですけれども。これまでは、盲目的にクレジットカード情報やその他取引先の銀行口座情報、いわゆる金融にひもづいた情報が流出してはいけない情報であると思っている方が多くてですね。

まさに情報流出した企業のプレスリリースを見ればわかるんですが、「重要な情報は流出していません」「個人に被害が及ぶ情報は流出していません」というプレスリリースが、日本では特に多いんです。でも、「それを基にさらなる犯罪はいっぱい起きるんですが」という情報が多分に含まれているプレスリリースが数多くあります。

見える化ができていないという。

そうです。「何の情報が流出すると、どのような被害がどれぐらいの規模で起き得るか」。これらの指標自体が、まだこの国にもフレームワークとして固まってないと思います。

先ほどおっしゃった有価証券報告書でPRするというお話は、記者の立場からすると非常に感じ入るところがありました。ユーザー企業さんにセキュリティの取材を申し込んでも、正直言うとかなりの確率で断られてしまうことがありまして。

セキュリティを会社のPRの資産として考えるマインドセットは、まだなかなかないかなという感覚ですが、日本と海外を比較してみると、やはりそういった企業はもうちょっとあるんですかね？

やはり少しずつ出てきていますし、特にヨーロッパ圏だとGDPR（EU一般データ保護規則）の関係もあって、かなり個人情報の取り扱いに厳しくなっています。それこそ、情報漏えいがあった時の罰則や経営陣に対する訴訟ですね。株主代表訴訟の起きる発生率も、日本と海外では大きく違います。

海外と一括りに言っても、やはり基本的には、特にイギリスを含むヨーロッパ圏、アメリカの事例がよく取り上げられるわけですけれども。そういった情報の管理体制や、情報漏えいした時に企業にどのような被害があって、顧客や政府、法律の部分からも縛りがかかっているとか、対応を求められるケースはどんどん増えてきています。

この国もそういったところに対応していくというのは、わりと近い将来に来る部分かなと思っています。

なぜなら戦争も含め、ロシアとウクライナの問題もですけれども、そういったサイバーというものは軍事力に直結する部分でもありますから、平時の最中に気をつけないといけない部分です。

やはり今後の戦争……。ちょっと出し忘れましたが、先週SBU（ウクライナ保安局）のサイバー部門が、GRU（ロシア連邦軍参謀本部情報総局）によるウクライナ戦術プラットフォームへのハッキングを止めたというのがニュースになったんですけれど。

やはり今後の戦争においても、サイバーは陸海空と同程度の比重を持つ領域だと思います。日本も徐々にそういった知見がある人が予算獲得していった上で、ハードだけでなくソフトとか人員についてもしたたかに、軍民両用のモノとヒトを用意していく必要が出てくると思いますから。

民間企業にもその煽りは絶対来ますし、直接的な被害を受けるのは民間企業が多いですから、そういった部分への対応は求められていくのかなと思いますね。

情報公開をどの程度のレベルまでするかという判断なんですけれども。先ほど私が言った通り、取材を断られてしまう企業に「なんでダメなんですか？」とちょっと食い下がって聞いてみると、残念ながら「ダメなものはダメなんです」という返事が返ってくると言いますか。

要は、何を言っても攻撃を誘引するようなことにつながるのではないかと。「このレベルだったら、そんなことにはならないんじゃないですか？」と説得しても、「いや、そういうふうに決まっているんで」というやりとりになるんですけれども。

例えば「こんなセキュリティツールをこう使っています」というものだと、逆に相手側に攻撃方法を想像させてしまうこともあると思うんですけど。どういった内容であれば、攻撃者のモチベーションにはつながらず、かつ会社のPRにつながるのか。この線引きはどう考えるべきでしょうか？

一番簡単なのは、被害額算出の想定金額自体と、持っている顧客資産の計算式みたいなものを作ることでしょうね。いわゆる攻撃の種類と被害想定額から、自分たちの資産はニアリーイコールになるわけじゃないですか。

これは金融的な資産、BS・PLに反映するものではなくて。「情報資産を金銭価値に換算した時に、どれぐらいの被害が起き得ると想定できますか？」というのが、情報資産として自分たちが守るために予算を割くところとリンクするので。

今は日本ではまだ市場環境が整い切っていないと思いますから、PLやBSというところの、あくまでPLにコストが入るという話にはなるんですけれども。想定被害額シミュレーションを行うことによって、自分たちが持っている情報資産がどれぐらいの顧客や取引先なのか、自分たちがビジネスを遂行している中でため込んだ情報資産なのか。

社員や仲間、経営陣がその価値を認識するという意味合いも込めて、「自分たちが持っている顧客資産が流出すると、これぐらいの想定被害額になってしまいますよ。それに対応するわけだから、これぐらいのセキュリティ予算・対策を積んでいます」という考え方でいけば。

もちろん、そこの計算式が水増しに水増しを重ねたり、「この想定シミュレーションってホンマにあるんだっけ？」「こいつら、『情報資産をめっちゃ持ってます』というふうに盛りたいだけじゃないの？」みたいな見方ももちろんできるわけなんですけれど。

それはそれで別に1つのパラメーターなので、情報資産の計算式は、ちゃんとシミュレーションと、どういう攻撃を想定してというもの自体が内部文書として明確にあれば（いいと思います）。

それよりも重要なのは、「自分たちは狙われないでしょ」と高を括っている経営陣とか、「いや、別に今すでにこれだけの予算をかけてるんだから大丈夫でしょ？」とか。すでにかけているサンクコストがあるから、対策や対応をコンバートしたりアップデートするのを億劫に感じている“脳死している人たち”とか。

（笑）。

そういう人たちが、「守らなければいけない資産がこれぐらいあって、そのまま流出するとこれだけの被害額になってしまいます。それに対して、これぐらいの予算を割いているんですよ」と、IRとして適切に対外的にも話すことができれば。

それはセキュリティの面から見ても、透明性の面から見ても、それこそイチ有権者、株主や顧客から見ても、「この人たちはしっかりやろうとしているんだ」というのがわかるようになると思います。

「対策してます」「とりあえず言ってみた」という話のテンプレみたいなところがほとんどだと思うので、イチ企業として自分たちが、何を守らなければいけないと思っているのか。顧客や取引先といった、いわゆる自分たちの商圏範囲内の人たちがどうそれを感じるか。

もちろん時間がかかる部分はあるかと思いますけれども、上場企業で年間に何社被害に遭ってるねんという話なので。上場してようがしてまいがやらないといけないと、ガラパゴス化した日本もどんどん変わってくる部分じゃないかなと思います。

予算の話をいろいろおうかがいしましたけれども、人材の確保という部分。やはりサイバー人材が足りないという話は、日本でも世界でもよく言われていると思いますが、これはなかなか解決が難しい問題だと思います。

これも予算に絡んでくるかと思いますが、大佐さん、いかがでしょうか？　何か企業の方に助言できることはありますでしょうか？

これがやはり難しい問題で、スタート地点からで言うと、1980年代から始まったオフショア開発自体が、そもそもこの国の技術人材の空洞化を加速させたという大罪から始まるので。

なるほど（笑）。

現状だけ切り取って話すのはなかなか難しいんですけれども、特にサイバー人材は、別にサイバーに特化して何かを学んでいるというよりは、コンピュータ全般の知識と造詣が深い人間たちを、どういう環境、それから運用ルールで作っていくかという変数がなかなか多いんです。

特にこの国だとやはり司法取引の回数が少ない部分がありますし、どういうかたちで攻撃を学ぶ人間たちに対しての実践環境を作るかという点。企業側がそういった人材をどう受け入れるか。

そして、ひたすらSQLを叩きまくるIT土方みたいな仕事をSESで売っている企業さんがいらっしゃるんですけど、そういった土方を養成しまくっている以上は、土方でしかなくてですね。

それこそスポーツ選手の年俸制もそうですが、移籍金で数億円だ、数十億円だ、数百億円だという一騎当千、一騎当万どころか、1人でほぼ何でもできてしまうやんという高度人材たち。それをどんな枠組みで吸い上げて、企業の中に取り込むかというところが、やはり一番難しい部分です。

そして、そういうちょっと斜めに世の中を見ているような「斜好性」を持っている人間たちが、セキュリティ上守らなければいけない重要な会社に入るかというと、その企業自体がおもしろくないと入らないわけですから。

守らなければいけないんだけれども、その会社の一員として入るかといわれると、またこれが難しい問題だというのが、並列で絡んでしまっています。そうなると、やはり重要なのは教育と、教育の中でいわゆる意図的にあぶれ出した人間をどう吸い上げて仕組みで守ってあげるか。

そして、守ってあげる枠組みとして、情報機関や司法取引のような制度がありつつも、その人たちが実践環境として企業に対して擬似的な攻撃をしたり、それこそ他の国との連携の中でそういったことをするとかですね。

単価の問題、それから環境の問題で、もちろん今は人材として稼げる手段も増えてしまっています。「稼ぎたいからこれをやる」という人よりは、それ自体がおもしろいから、それ自体がカッコいいと思っているからやるという人たちがやはり重要です。

そこは「ニワトリ・卵」ではあるんですけれども。「隗より始めよ」じゃないですが、そういった人間をある種すくい上げる。そして、パンダにするわけではないですが、注目させて「ああいうふうになったらおもろそうやん」というのを作り出すようなことは、国の政策としてはやらないといけないところがありますね。

「人材をどう育てるか」というのを抜きにした場合、今の市場環境で企業が確保するかというところでいけば、社内にレッドチームを作るのがもちろん理想形です。

ただ、第三者的な視点でもレッドチーム的なオペレーションをやらないといけないことも同時にあるわけです。だから、そういったセキュリティの専門家を集めているような会社に「実際にやらないといけないことが何かわからないから、丸投げする」というのではなくて。

先ほど僕が言ったように、自分たちの資産を可視化して優先順位をつけ、その被害額想定・シミュレーションを行った上で、対策をもう一回確認する。その対策自体がちゃんとはまっているかどうかを実際に擬似攻撃を受けて確認するという。

この一連のフローに対応できる会社に頼みつつ、やはり自分たちの知識もアップデートしていくところから始めるしかないんじゃないかなと思ってはいます。

ただ、最近海外の大学もそうですし、それこそ日本の上場企業でも「サイバー人材を育成します」と言って、いろいろな人材派遣の会社と組んだり、人材を育てて輸出していく企業も増えてはいるので。

自分たちの社内に、そういったレッドチームの準備室を作っていくような環境作りからまずは始めていくのが、イチ企業という部分では重要なんじゃないかなと思います。

「右回り」と「左回り」という言い方をよくするんですけれども。ものづくりとか何かを構築するのが左回り。良い製品や良いソリューション、良いプロダクトを作って良いビジネス生み出す、利益を上げて、売上を（増やす）という左回りの考え方と。

逆に右回りで、どうやって攻撃するか、どうやって被害をもたらすか、どうやってこの建物をバラバラにするか、このテレビをバラバラにするかといった、リバースエンジニアリングと呼ばれる部分に近いんですけれども。

左側と右側で異なるベクトルの頭の使い方なので、左回りの人間を右回りに変更するのはまあまあ難しい部分があります。なので、できるだけ若い人材や逆側の回転をしている人間たちを社内の中に抱える。

もしくはそういう人たちを抱えている会社に、知識をちゃんと共有・連携した上で仕事を頼む。そういったところが直近だとできる部分じゃないですかね。

なるほど。いろいろなお話をおうかがいしてきましたが、こう言ってはなんですが、やはりバックグラウンドがかなり特殊な方なので、なかなか聞いたことのないお話もおうかがいできたんじゃないかなと思います。大佐さん、あらためてありがとうございました。

ありがとうございます。いや、そうなんだよな。雑談みたいな話ですけど、左回りの考え方で「めっちゃいい建物を作ろう」という時に、「どうやってこの建物をぶっ壊そう？」というのを同時に考えるのってほぼ不可能に近いので。

ああ〜。

だから、そのあたりの人間の頭の使い方の適性を見た上で、中に入れていくしかないんでしょうね。雑談っぽくなりましたが、そう思います。

ちなみに、うちの会社って2009年に新しく自社ビルを建てたんですけど、その当時は耐震性が強すぎて「壊し方がわからない」みたいな話を聞きましたね。「なんじゃそりゃ？」と思いましたけど。

それはめちゃくちゃ重要です。「どう壊すか」を同時に考えなかったわけなので。

そういうことなのかなと、今お話を聞いていて、その話を十数年ぶりに思い出しました。

では以上となります。どうもありがとうございました。

ありがとうございます。