セキュリティの“門外漢”、「日本の安全」のフルアップデートに懸ける

2018/6/21
2017年、アクセンチュアは「セキュリティコンサルティング本部」を新設し、本腰を入れてセキュリティビジネスの強化に乗り出した。この部門を立ち上げたのが、「セキュリティの門外漢」と自身をそう呼ぶ市川博久・統括本部長。

アクセンチュア一筋、ITインフラのプロは、このポジションに就いて約半年、顧客や政府、自治体へのヒアリングを経験し、「危機的状況」と日本を憂う。グローバルのセキュリティ事情と、日本の置かれた状況、そしてどのような取り組みが必要とされているのか。電子政府先進国であるエストニア共和国に開発拠点を置き、同国政府のITインフラづくりに携わった異色のエンジニア×マーケター社長、Planetway の平尾憲映氏とともに語る。
「素人」だからわかること
──市川さんはご自身をセキュリティの門外漢、「素人」だと言います。それにもかかわらず、昨年からセキュリティ事業の専門部隊を率いています。
市川:素人……、まぁ、そうなんですけど、他人に言われると地味に腹立ちますね(笑)。正確に言えば、インフラ全般を任されていた時、担当カテゴリの一つとしてセキュリティはカバーしていましたけどね(笑)。
まぁ、それは置いといて、セキュリティは専門的な知識とスキルを要する分野ですので、さすがに素人だときつい。なので、このポストに就いた当初はとにかく、勉強と調査。
たくさんの文献に触れましたし、現在の市場環境や有望性、競合分析といったビジネス戦略を立案するための知識だけでなく、テクノロジーのことも学びました。企業、自治体、官公庁にもセキュリティ対策の現状とセキュリティに対する考え方をヒアリングするために、足を運びました。
──調べてみて、いかがでしたか?
市川:ヤバイですね。アクセンチュア・グローバルがおこなった調査では世界全体で総GDPの約1パーセント、そして日本ではGDPの約0.4%がサイバー犯罪による被害総額だと見ていますが、私見では、日本も実は被害を受けた当事者が公にしないだけで、世界水準レベル、すなわち5兆円程度の莫大な被害総額に達しているのではないかと推察しています。
──具体的に何にヤバイと感じましたか?
例を一つ挙げれば、サイバー犯罪が温床化する「ダークウェブ」の存在。ダークウェブとは、アクセスユーザーの匿名性を保ちながらディスティネーション先のウェブサイト参照を可能とするTOR、I2Pといった技術上に形成される秘匿性が高い特殊なインターネット世界のことです。
現在主流となっているTOR自体、もともとはアメリカ海軍で開発された経緯があり、違法な技術でも「空間」でもありませんが、ダークウェブの存在自体が「闇」で犯罪者にとって足が付きづらい特性がある。
そのため、違法薬物の取引や個人情報の売買、マルウェアの提供、ハッカーフォーラムでは特定の政府・企業組織からの情報奪取、あるいは操業妨害を目的とするやりとりが捕捉されています。
私の事業部門には、ダークウェブに潜入し、どんなやり取りをしているかをチェックしているチームがいるんですが、アクセンチュア・グローバルの他国チームとも連携のうえ、政府や超大手企業が運営するシステムのセキュリティ上の穴、脆弱(ぜいじゃく)性情報も数多く流通していることを押さえています。
IoTやビッグデータ時代と言われ、これから私たちの生活やビジネスはもっとデータに依存するでしょう。機密情報の漏えいやなりすまし、情報の改ざんリスクも比例して高まる。さらには、攻撃理由とパターンの多様化、サイバー犯罪のエコシステム化などの外部要因も見過ごせません。
それにもかかわらず、ほとんどの日本企業のセキュリティは機器やソリューションを断片的に導入して終わっている、言葉を選ばずに言えば「機能不全」に陥っている。適正な対策を講じているのは1割未満、メガバンクやごく一部の企業だけでした。
海外と日本のセキュリティ責任者のメンタリティの違いも気になります。日本では、情報システム部門長がCISO(最高情報セキュリティ責任者)を兼任しているケースが多く、セキュリティ・アセスメントの話を持ちかけても、いい顔をされないんです。アセスメントを実施し、これまで自分の守備範囲でもあったIT領域にボロが出てしまったら立場が危うくなると考えるからでしょう。
一方、欧米では、セキュリティの不備を見つけて改善することが、CISOである自分の存在意義だと捉えているから、脆弱性診断や侵害調査などの提案を持ちかけると、耳を傾けてもらえることが多い。
一体、なにが自社のバリューチェーン上の脅威となるのか、あるいは、既知の脆弱性はどこに存在するのか? 彼らは積極的にそれらを把握することに努め、自組織へ素早く展開し、必要な予算を押さえて対策を講じようとします。欧米CISOの多くが文字通り「ミッション」として、本気でセキュリティと向き合っているのです。
モチベーションは焦りを通り越した「憤り」
──日本企業にとってセキュリティは積極的ではない負の投資。単純に考えれば、ビジネス環境としてはよくないですよね?
市川:昨年の秋ごろ、私は社長からこのポストに就け、と言われた時、最初は正直に言って「いまさら、嫌だなあ」って思ってたんです。地味な印象が強かったし。それに日本のセキュリティ市場ではアクセンチュアは最後発ですし、この分野自体が極端にフラグメントしているので、大きなビジネスも難しそうだなって。
でも、実際に私自身もセキュリティ分野にどっぷり関わり始めると、日本の特異性として根っこにあるのは「平和ボケ」なんだろうな、と信じるようになりました。
私自身もそうでしたが、心の底では、まさか自分たちが第三者からの攻撃対象になっているとは思えない。それが多くの典型的な日本人のメンタリティなんじゃないですかね。我が国の実情を知れば知るほど、私は「焦り」を通り越して、強い「憤り」を感じました。
このメンタリティと現実の乖離(かいり)にビジネスメリットを感じましたが、それ以上に日本全体の脆弱なセキュリティ体制をどうにかしないといけない、フルアップデートしないといけないという使命感が先行しました。それが今の私のモチベーションです。
長らくセキュリティ分野に従事されてきた方々からすると、私のような経歴が浅い人間に言われたくないと思うかもしれませんが、固定観念がないからこそ納得がいかないというか、不思議なことが目につくんです。
攻撃されていないのではない。気づいていないだけ
──ただ、サイバー犯罪で狙われる確率は、他国に比べて日本は少ないですよね。
市川: これまでは日本語という言語の「壁」もあり、世界の先進国に比べて日本はサイバーアタックを受けにくかったようですね。しかしながら、昨今は日本企業が気づかないうちに標的型攻撃の対象になっていることが日常茶飯事です。
これまでサンプリングとして日本企業の数十社についてダークウェブを調査してみましたが、過去に犯罪実績のある組織から似たような手口で狙われていた形跡が見られました。
あるいは、すでに攻撃を受けていないかどうか侵害状況を調査してみると、300日以上もバックドアの存在に企業側が気づいていないケースも見受けられました。攻撃されていないのではなく、そもそも気づいていないのですよね。
──しかし、日本企業は、セキュリティ対策を講じていると思っているはずです。
市川:繰り返しになりますが、セキュリティ関連の機器やサービスを導入はしているかもしれませんが、実装面で機能していないんです。
セキュリティにはサイバー攻撃に対して完璧な防御壁は存在しないことを大前提とし、幾重もの壁を設けることによって機密情報へのアクセスを防ぐという「多層防御」という定石がありますが、企業内部の実装状況を見てみると、この理論どおりに機能していないケースがほとんどです。
その理由は、セキュリティアーキテクチャの魂というか、グランドデザインが不在なんですよね。個別のセキュリティソリューションを提供する側も全体像の一部に過ぎない自社製品を売ることに専心していたことや、ユーザー企業側にもアーキテクチャのグランドデザインが不在にもかかわらず提供側に言われるがままに個別製品やソリューションを採用してきたことが容易に推察されます。
セキュリティの世界には一芸と言いますか、特定分野について深い造詣を持った専門家は数多くいますし、今なお、産官学が連携してスキルやロールモデルの細分化へと深化は進んでいます。
しかしながら、私が警鐘を鳴らしたいのは、本来ならば個別企業ごとに存在すべき実装レベルでのアーキテクチャのグランドデザインが欠如していることであり、この実装を具現化するスキル、人材の育成が提供側にとっても、ユーザー企業側にとっても必要だということです。
私は特定の技術やスキルを追求することを否定しているのではありません。どんどん深めていくべきでしょう。でも、本来、人間は没入して特定のものを深化させればさせるほど、周りが見えづらくなるものです。
あと、触れなければいけないポイントがもう一つ。私がセキュリティに関わって非常に驚いたことがあります。
ユーザー企業側も提供側も、個別の製品技術・ソリューションの話題に終始してばかりで、具体的に何を守るべきなのか実は意識していないことが多いのだな、と。具体的には、IT資産管理と構成管理がおざなりになっちゃってるんですよね。
脆弱性情報や脅威情報はサブスクリプションベースで買っていたり、とりあえずログ解析・脅威分析のためにSIEMも入れてみたというように個別の部品要素は導入しているんです。
でも、最新のIT資産情報と構成情報が保全されていないため、脆弱性情報や脅威情報を突き合わせることができないんですよね。悪い冗談みたいな話ですが(笑)。
結果、本当の意味での自社における脅威の特定ができず、早期防御を図ることもかなわないのです。年度末などのタイミングでExcelファイルでIT資産の棚卸しをおこなっているのが多くの日本企業が陥っているパターンではないかな、と。
こう至らしめているのは技術的要因によるものではなく、業務主幹が中心となって情報システム投資が決定され、この「縦」の都合でIT資産が買いっぱなしになってしまっている、換言するならば情報システム部門やセキュリティ部門による「横」の機能が弱いという日本企業ならではのガバナンス固有性がこのような形で発現しているような気がします。
このような考察も踏まえ、日本企業のセキュリティをフルアップデートするには、ガバナンス、業務プロセス、人材ケイパビリティ、さらにはITアーキテクチャに対して一気通貫でアプローチする必要があると考えています。
まあ、実際のところ「言うは易し」なんでしょうが、問題の真因に気づいちゃったので、とりあえずやっちゃうしかないかな、と(笑)。
エストニアの電子政府技術を民間応用した男
──平尾さんはどう思いますか。Planetwayは、アメリカに本社を置き、電子国家先進国と呼ばれるエストニアにR&D拠点を設置。エストニアが運用する国民番号制度を支えた基盤システムを世界で初めて民間向けに作り替えて日本で展開し、世界展開を目指しています。
利便性と高いセキュリティを両立したシステムとして世界からの注目度は高いです。エストニアは何が違うんですか。
平尾:意識が違います。特に2007年に起こったロシアからの国家規模のサイバー攻撃を受けて、常にサイバースレットを意識して、生き抜くためのセキュリティ環境を築くという考え方を持っています。同国の場合は、サイバー戦争に打ち勝った唯一無二の国家インフラを保持しているということが、世界的な認知にもつながっています。
エストニアだけではありませんが、セキュリティ先進国はセキュリティ対策を「防御のための守りの投資」ではなく、新しいビジネス創出のための「攻めの投資」と位置づけています。コストではなくバリューとして捉えますし、企業や国家のブランディングに貢献するとすら思っています。
──電子国家先進国に認められた理由は何だと自己分析されていますか。
平尾:Planetwayには、MySQLの共同開発者や、NATO(北大西洋条約機構)、国際的警察機構に所属したエンジニアなど優秀な人材が多数入ってくれており、技術力を認めてくれている部分が大きいと思います。
それ以上に、これまで誰一人成し遂げられなかった、エストニア電子政府国家インフラの民間応用版を、日本国内へ導入・成功したことが一番の理由だと思います。
先日、エストニアの電子国家インフラ技術に当社独自のテクノロジーを加えたデータ連携基盤「PlanetCross」と個人認証基盤「PlanetID」を紹介し、それらをフル活用したデータ利活用を推進するオープンイノベーション事業「PlanetEco」とデータを守るセキュリティ人材育成事業「PlanetGuardians」の発表をしました。
会場には400人近くが来場し、エストニアIT大臣、9社の日本を代表する世界的な企業群の役員レベルの方々からのエンドースメントスピーチと高い評価をいただきました。既に、国内では100社を超えるパイプラインがあります。また、日本以外でも多くの国からお声をかけてもらっています。
エストニアのIT大臣のUrve Palo氏(写真右)は、Planetwayが日本で開いた記者会見に登壇するため来日。Planetwayを高く評価している様子をうかがわせた
ただ、自己分析すると最も大きいのは「信念」ではないかと思います。今、有名なネットサービス企業は個人のデータを支配しています。
私は「データは個人のもの。個人が中心になり、安心・安全に自分のスタンスでデータを開放、活用する世界」を目指しています。個人データを扱うインフラ、いわばインターネットそのものを作り替えたい。その強い信念が評価を受けているんだと思います。
今回の対談はセキュリティがテーマですが、私たちはセキュリティベンダーではありません。私たちは、あくまでオープンでシンプル、使いやすいプラットフォームを提供することに専念している企業です。
そのためには、強固で安全なインフラでなければならないし、現状のインターネットそのものを変える必要がある。だから私たちはセキュリティ技術を高めているんです。
先ほど他国はセキュリティをコストではなくバリューとみなしているとお伝えしましたが、私たちもそう思っています。どんなに使いやすいシステムでも安全が担保されていなければ使われませんから。強固なセキュリティをシンプルに担保することで、今までアクセスできなかったデータ同士がつながり、世界初のサービスがどんどん生まれる時代を作りたいです。
市川:平尾さんに初めて会った時は、ちょっと怪しいと思ったんですが(笑)、私もその信念に心を打たれた一人です、とはいえ、技術力は確かにすごい。Planetwayの日本での事例では、福岡で取り組んだ病院がありますよね。かなり衝撃的な事例でした。
スタートアップの心意気。攻めるなら難攻不落な業界
平尾:病院と保険会社のデータを連係する実証実験で私たちのプラットフォームを提供しました。保険金の受け取りにかかる時間を通常の2カ月から10分に短縮しました。診断書を発行してもらい書類を作成する時間、保険会社が書類をチェックする手間、これらを削減したのです。
ユーザーは、申請のプロセスが圧倒的に簡略化されて、迅速に保険金を受け取れると助かりますし、保険会社としても申請情報をチェックする際の膨大なコストの削減につながります。言い換えれば、圧倒的にサービスレベルを上げてコストを下げるということです。
データをうまく橋渡しすることで、社会課題をドラスティックに解決できた事例だと思っています。こうしたことをもっとやっていきたいですし、我々が提供している技術のベースは社会インフラなので、多様な領域へ応用ができます。
実は我々の技術導入先が保険会社と病院だったことにも意味があります。当初は、ベンチャーがなぜ最もハードルが高い医療領域から攻めるのか?と社内外から反対の声もありました。
それよりもっと簡単に始められるところで実績を作ってからチャレンジしてはどうか、と。しかし、私には、この世界で最も秘匿性の高い個人情報は医療情報・金融情報であるという信念がありました。
最初から最もハードルが高い山を登らなければ、技術は全体に普及できないと強く考えていたからです。交渉には、かなりの時間は要しましたが、結果としての今があります。
ヒーローとして活躍するセキュリティ人材を育成
──脆弱なセキュリティ体制をどうアップデートしていきますか。Planetwayでは新たにセキュリティ人材事業を始め、アクセンチュアとも手を組みました。
平尾:我々のコアメンバーでもある、過去にサイバー戦争に打ち勝った実績を持つNATOのエンジニア、国際的諜報機関、国際的警察機構などで活躍した世界トップレベルのハッカー、エンジニアと共に、ホワイトハッカーを育成するグローバルプログラムを計画中です。
ハッカーとは、もともと高いレベルの技術者を指していましたが、サイバー犯罪者としてのイメージが表だってしまいました。セキュリティに明るくないと、ほとんどの方は犯罪者として認識するのではないでしょうか。
悪玉をブラックハッカー、善玉をホワイトハッカーと区別するようになりましたが、ハッカーという言葉自体が犯罪者を連想させてしまっています。それだけでなく、ブラックハッカーとして活躍するほうが圧倒的に給料も高いのが現状です。
カギ屋さんを犯罪者だとは思いませんよね。ホワイトハッカーは、コンピューターやネットワークの高度な技術を、犯罪抑止などのために尽くす仕事ですが、残念ながら市民権を得るには至っていません。
私たちは、“ガーディアンズ”という新しい職種を広め、セキュリテイ技術者をヒーローにしたいと思っているんです。そのためには、多くの企業の皆様と新しいマーケットを共創していく必要があります。
少なくとも“ガーディアンズ“の市場が立ち上がるまでは、競争原理は二の次だと思っています。社会的な課題の大きさに比べて、あまりにも現状の日本のサイバーセキュリティ人材育成市場は閉鎖的でプレーヤーが乱立している印象を受けます。
1社だけが独占してスタンダードを作るよりは、全員で組んで、各社の強みを適材適所で生かして、社会課題を一丸となり解決していくことが必要だと感じます。
──ホワイトハッカーというのは、簡単に育成できるものでしょうか。
平尾:難しいですよ。育成プログラムを受けて、ホワイトハッカーになれるのは1%ぐらいでしょう。天性が必要で、教育して生まれるものではないと思いますね。そのためには、プログラムもいわゆる、寺子屋方式や机上で学ぶだけでは絶対にダメです。学ぶプロセスから抜本的に変えていきたいです。
ただ、99%の人がホワイトハッカーにはなれなくても、企業でサイバーセキュリティを担う人材としては立派に活躍できます。例えば、セキュリティシステムの運用者だったり、CISOのような職にだって就けると思います。プログラムによって、人材の裾野を広げる活動もしていきたいんです。
一方で、日本では、サイバー戦争の脅威や日常のハッカーによる攻撃もこれまでは体感してこなかったからこそ、そういう人材やトレーナーが生まれにくい環境にあることも事実です。
だからこそ、実際のサイバー戦争に打ち勝った実績を持った人間が教える新しいプログラムが必要なんです。
ただし、海外のものをそのまま持ってくるというのは、セキュリティ領域においては大変危険なことです。セキュリティの人材を育成するには、まずその国の文化、社会習慣、直面している課題などを明確に理解し、その国にあったプログラムに作り替える必要があります。
我々が目指しているレベルは、まさに世界最先端の人材が教える日本文化にマッチした教育プログラムなんです。
もっと言えば、我々は、セキュリティ人材の育成は、セキュリティを活用した我々のコアインフラとのセットで考えています。つまり、攻めのデータ利活用と守りの人材育成ですね。個人が安心して自分のデータをコントロールできる世の中で、テクノロジーの力だけで情報を守るのではなく、人の力でも情報を守る社会構造が必要だと信じています。
市川:共感します。私も、裾野を広げたいと思っていて平尾さんと連携しようとしています。
2015年に全面施行されたサイバーセキュリティ基本法では、人材育成についても言及していますが、必要十分な人材確保にはほど遠いのが現状です。これからの日本の次代を担う若者たちがセキュリティのエントリー的な素養を身につける、あるいは関心を持ってもらうために、まずはアクセンチュアが資金を拠出して奨学金制度を作りたいと構想中です。
目先では我々としのぎを削りあっている競合企業とも長期的な視座に立った活動は共にして、大きな社会的な流れを作れたら、と。セキュリティ市場規模はまだまだこんなものではないはずなので、とにかく大きな志のもと公益性に資する活動も並行しておこないつつ、市場全体をストレッチさせていきたいですね。
先ほど申し上げたように、日本のセキュリティレベルの低さは深刻です。国として競争力を下げてしまう重大な問題といってもおおげさではないと私は本気で思っています。だからこそ、私はこの地味な裏方整備の仕事に真剣に取り組んでいて、この仕事に懸けています。
ユーザー企業の中にもセキュリティ人材は足りていませんが、私たち提供者側にもセキュリティ人材が不足しています。社会の問題を解決するくらいの気概をもって本気で日本のセキュリティを高めようと思ってくれるメンバーを私は求めています。技術力は走りながら身につけていけばよいのです。だって、もともとは私も素人なんですから。
(取材・編集:木村剛士、文:加藤学宏、撮影:風間仁一郎)