日本にない発想 人材供給源は「公的機関」
──サイバーセキュリティの運用を行うにあたって、今後日本はセキュリティ対策を内製化していくべきなのか。それとも海外の企業も含めてある程度委託せざるを得ないのか。このバランスというのはどう取るべきでしょうか。
まず、諸外国のサイバーセキュリティ企業において先進的な技術をともなったサービスやプロダクトが充実していたり、サイバー演習といったサービスを提供できているのは、そこに所属する人々が高いレベルの教育訓練を受け、かつ国家機関の情報運用に関わった人材が影響しています。
国家機関で様々な実務を経験し、一定期間後にスピンオフして民間企業(大企業からベンチャー企業まで)が受け皿となっている状況があるのです。
また採用に当たっては、その人物の価値(給料)は人材市場によって決定されています。個社別の人事担当の方が給料を決めるわけではないそうです。その仕組みがあるため、内製できる所と、足りない所はその差分に相当する所を外部に委託する。海外では、そうしたバランスが良くとれていると感じます。
ですが日本では、その経済規模と比較して、そもそもセキュリティ人材が非常に少ないです。ということはバランスどころか、育成するにしてもサイバーセキュリティに関心をもってもらうところから始めなければなりません。そのため、当面の間、日本の企業は試行錯誤の状態が続き、実現するまでは、セキュリティ対策の多くを外部に委託せざるを得ない流れになるのではないかと予想しています。
セキュリティ環境の変化には、震災級の犠牲が必要
──そのような話を聞くと、自衛官のように有事のオペレーションを想定し、何百何千のメンバーを動かせる人材というのは貴重であると感じます。サイバー演習やインシデント対応は、本来そういった人的資源が必要不可欠であると感じますが、やはり日本ではあまり注目されないのでしょうか。
そうですね。日本では、何事も民間の仕組みで何とかできると思い込んでいるところがあります。ですから、いざという時にはたった一人のリーダーの下、多くの部下を使って組織全体を動かす必要性を、現状の日本の組織からはあまり感じられません。そういった部分に、「日本の組織は、サイバーセキュリティ人材を採用するモチベーションがない」という印象を個人的には抱いています。
そもそも、必要だと認知されていない上に、認知されるような下地もないというのが現状です。2011年に東日本大震災が発生した時には、大企業、特に金融や交通分野については一部の役員の方がもの凄いリーダーシップを発揮して、自衛隊規模でないにせよ素晴らしいオペレーションを行っていました。
その下地は、東日本大震災の地震や津波による深刻な被害に対する周囲の理解です。サイバー空間で同様のことができるとした場合、内閣法第15条にある「国民の生命身体財産に重大深刻な被害が発生する」大規模サイバー攻撃により深刻な被害が発生して初めて、必要な知識体系が構築されていくのではないかと考えています。
物事を変えていくには、特に日本の場合は犠牲が必要だと言われています。なぜなら、米国も相当な被害を払って今の仕組みを作っているからです。
昨年起きた米国最大規模の石油パイプラインに対するランサムウェア攻撃や、それに続くインフラへの深刻な影響を与えた複数のサイバー攻撃の発生を受けて、ホワイトハウスが強いリーダーシップをとって国家レベルの取り組みを整えつつあります。
たとえば、重要インフラの所有者や管理者に対して、サイバー攻撃を受けてから一定時間内に、サイバーセキュリティー・インフラセキュリティー庁(CISA)に報告することを求める取り決めなどです。
もっとも、米情報機関は十数年前からそのリスクに気づき、何回も公聴会で指摘し、様々な努力をしてきました。しかし、そうした米国の情報機関でさえも「変わるには犠牲が必要だった」と述べています。
