軍隊経験者が多い、海外のセキュリティ業界事情
サイバー演習とよく耳にするものの、実際「演習」とはどういった意味なのか。小学館のデジタル大辞典では「演習」の意味として以下の3つを挙げている。
- 慣れるために繰り返し習うこと。練習。「―問題」
- 実戦や非常時を想定して行う訓練。「実弾―」「消防―」
- 大学・大学院などで、教授の指導のもと学生が研究・発表・討議を行うことを主眼とした、少人数の授業の形式。ゼミナール。ゼミ。
サイバー演習の「演習」は2番目の意味にあたる。また、演習は軍事関係の話題でもよく耳にする言葉だ。実際、名和氏によれば、海外のサイバーセキュリティ担当者は軍務経験者が多く、民間でその経歴を活かすというのは通例のようだ。
──名和さんは自衛隊からセキュリティ企業へ移られた日本では珍しい経歴をお持ちですが、海外ではそういった方は多いとよく耳にします。やはりそうした傾向はありますか。
おっしゃる通りです。米国やイギリス、あとフランスもそうですが、ITで情報を扱う特別なトレーニングを受けた方が、サイバーセキュリティ関連の専門機関に移ることが非常に多くなっています。
さらに言えば、政治的方面でのセキュリティ研究の開発を行っている軍の機関で従事した方が民間にスピンオフすると、その経験を生かした事業に従事する傾向があるようです。
私が以前、米国サイバーセキュリティ企業の日本領域の最高技術責任者(CTO)を務めていた時には、米国本社の上層部に米軍士官OBが多く在籍していました。自衛隊時代に在日米軍との連携業務の経験があったためか、会話はしやすかったです(笑)。
──サイバー演習というのは、自衛隊の演習のような、攻撃側と防衛側に分かれて、何十、何百の人員を動かすようなオペレーションを実際に行うのでしょうか。
はい。サイバー演習は、実働として自衛隊のような防衛の実力組織が行う演習と類似するところが多いです。
かつては日本だけでなく、諸外国においても、システム運用やセキュリティ対策の責任は、情シス部門にありました。システムの多くがオンプレミスであったこともあり、不具合やセキュリティ違反が発生すると、情シス部門がクローズドな形で対応できていました。
しかしながら、今では事業部門が顧客やビジネスパートナーなどとのエンゲージメントや独自の業務効率化などの目的で、クラウドサービスなどの外部サービスを使い始めています。そのため、セキュリティインシデントが発生した場合は、情シス部門だけではなく、事業部門やリスク管理部門に加えて、外部サービス提供会社やISP(インターネットサービスプロバイダ)の協力も必要になってきます。
そこで重要となってくるのが、サイバー攻撃に対して「誰に何ができるのか」を念頭に置いた形で、そのアサインメント(割り当て)をどうするかという点です。
「誰」が「どこまで」できるかという部分を見計るにあたり、実際にセキュリティイ攻撃が発生した場合のレスポンス(実働を伴う対処)、および解決に導くためのハンドリング(調整を伴う対応)をサイバー演習によって疑似経験をしておかなければ、経験の有無の差だけでその後の未来を大きく左右してしまいます。なぜなら、実際に発生した際に適切な対処が「できる」もしくは「できない」という、二者択一となるからです。
