セキュリティリーダーとしてまず大切なこと
━伊東さんは自衛隊のサイバー部隊長を務められていましたが、セキュリティリーダーとして重要なことはどんなことでしょうか?
先日のSecurity Online Day 2022の講演でも触れましたが、私は戦史が好きなものですから、ナポレオンとヒトラーのエピソードを例に説明しましょう。
世間で有名な話として、“ナポレオンはほとんど寝なかった”というものがあります。彼は1日に3時間ぐらいしか寝ず、あとは仕事をしていたと言われています。でも実は空いた時間が見つかり特に何もない時はしょっちゅう居眠りをしていたそうです。皇帝になってからも戦争中であってもずっとです。
ですが、そうした状況で居眠りをする際に副官へ必ず言っていた言葉があるそうです。それは、もし何か報告の必要があった時に「“いい報告”だったら俺を起こすな」、逆に「“悪い報告”だったら必ず起こせ」というものだったといいます。
一方でヒトラーの場合はどうだったか。これは第二次大戦の転換点ともなったノルマンディー上陸作戦時の話です。この作戦が始まったのは真夜中の12時過ぎ。最初はパラシュート部隊である空挺作戦による奇襲攻撃から始まりました。
当然、現地から攻撃が始まったという報告が上がり、軍はそれをヒトラーへ伝えようとします。また、軍としてはノルマンディーに上陸した連合軍に対処するため、戦車からなる強力な装甲部隊を援軍として送り込もうとしましたが、それを動かすにはヒトラーの許可が必要だったのです。
彼を起こしに行ったところ、お付きの従者から「総統閣下はお疲れで今お休みになっているから起こしてはいけない」と言われたため、それを聞いて軍側は諦めてしまいました。ヒトラーを起こして激怒させるリスクを恐れ、結果として彼が目覚めて報告を聞いた時にはもう手遅れになってしまっていたといいます。
もっとも、このエピソードは諸説ありますし、もちろんノルマンディーでの敗戦がすべてヒトラー個人のせいではありません。ですが、虎の子であった装甲部隊を侵攻初期に振り向けられていれば戦いの結末は変わっていたかもしれません。
こういった二人のエピソードはとても示唆に富んでいます。実は、セキュリティも一緒だからです。トップが「自分にとって耳の痛い話でもすぐに上げろ」と言える環境がなければ、まずい状況が生まれても適時に報告が行われず、ひどい場合にはそれを隠してしまう。
隠してしまうと、いよいよ危険な状況になってもますます報告が上がらないか、最悪手遅れになった状況になって初めて報告が上がってくることになります。もちろん、これはセキュリティに限った話ではありませんが、セキュリティのリーダーとしては心がけたい点ですね。セキュリティのリーダーは、「報告が上がりやすい空気を作ってあげる」。これがまず重要だと思います。
━戦争の戦い方とセキュリティ対策は似通う部分が多いと伊東さんはよくご指摘されていますが、具体的にはどのような点でそう感じられますか?
それはやはり、「攻める」、「守る」といった考え方の部分ですね。もっとも、先日の講演でも話させていただきましたが、サイバーセキュリティは「攻撃側が圧倒的有利で、防御側が不利だ」と言われています。
ですが、私自身、自衛隊での経験を振り返って考えると、攻撃と防御の有利不利というのは時代ごと状況ごとに異なるため、一概に「攻撃側が圧倒的に有利」とは断言できないのではないかと感じています。というのも戦史を振り返ると、ある時代では確かに攻撃側が圧倒的に有利な時もあったものの、逆に防御側が優位だと言われた時代もあり、戦いの優位性はその時々で変化しているからです。
そのためサイバーセキュリティの世界で「攻撃が圧倒的有利」といったことを言う方は、実は「本来やるべきことをちゃんとやってない、考えていないからではないか」と思っています。第一次世界大戦時の戦い方を例に説明しましょう。
