──西尾さんは幼少期からオンラインコミュニティなどで海外の方々と交流されていますが、日本と海外におけるセキュリティ人材はどのような考え方の違いがありますか。
10代の頃からセキュリティコミュニティに身を置き、海外勢がどのように成長していくのかを長年見て来た中で、一番の違いを感じるのはサイバーセキュリティにおいても日本は考え方や行動が「専守防衛」という点です。
つまり、「いかに合法的に攻撃の知識というのを蓄えられるか」が日本には不足しているのです。日本では、まず「こういうふうに守るんですよ」といったセキュアコーディングなどの「守り」から教えます。しかし、そもそもどんな攻撃が来るのかを理解しないと「どうしてこの守り方が有効なのか」という視点が醸成されません。
また、セキュリティ人材にサイバー攻撃のやり方をレクチャーしようとすると、「それはサイバー攻撃の幇助(ほうじょ)になってしまう」といった反応が返ってきます。これでは護身術として柔道を学ぼうとしている人が、ひたすら受け身だけを行うようなものです。
しかし、他国は同様ではありません。たとえばイスラエルなどでは、サイバースパーク社が運営するサイバーセキュリティパークというのがあります。どういう施設かというと、民間企業や国家が資金を出し、合法的にそこでサイバー攻撃を学べるという特別区域があります。そこでは不正アクセス禁止法という類のものが適用されない領域になっているのです。
もちろん企業などを攻撃するのではなく、攻撃可能領域が予め設けられており、そこに民間企業やサイバーセキュリティを学びたい人材が参加できるという形です。日本と海外では、そういった「攻守」に対する考えの違いというのが非常に大きいと感じています。
そもそも「生きた学び」はセキュリティ現場にあります。現実に襲ってくる本当のサイバー攻撃のテクニックは、決して表には出てきません。
ですので、そういった学びの場をまずは作るということ。これは学生や若い技術者だけでなく、リスキリングを目指す社会人が参加できるような環境です。こういった人々が体系立てて、サイバー攻撃を学ぶ場を作る。その上で、ここから守るにはどうしたらいいのかというのを行っていく。
このサイクルは、サイバー戦に備える先進国は行っており、我が国はその部分で遅れ気味だと感じています。しかし一定の副作用は必ず存在し、攻撃を教える以上それを悪用することも絶対起こり得るでしょう。
企画立案の段階で間違いなく非難を浴びることになると思いますが、護身術として空手やボクシング、柔術を学んだとしてもそれを犯罪に利用すれば当然危険ですので、サイバー分野に関してだけ過敏に判断するのは早計であるとも感じます。
