Security Online Press

「サイバー防衛シンポジウム熱海2024」初日レポート：台風で現地開催中止も“熱い”議論が交わされる

「サイバー防衛シンポジウム熱海 2024」レポート

2024/11/26 08:00

通知

「第5の戦場」で求められる、セキュリティの考え方と実践

　基調講演の後には、慶應義塾大学の土屋大洋教授による講演（非公開）、協賛企業セッションが行われた。そして、1日目最後となる講演には、ラックの代表取締役社長である西本逸郎氏が登壇。「サイバー防衛観点による官民連携の民間目線での考察～人材育成と情報共有、サイバーセキュリティの果たすべき役割に関して～」と題して、講演が行われた。

株式会社ラックの代表取締役社長である西本逸郎氏 — 株株式会社ラック代表取締役社長西本逸郎氏

　西本氏は「私なりの理解」として、“第5の戦場”について説明。陸、海、空、そして宇宙に続く戦場としてサイバー空間が位置しているが、他4つの戦場とは切り離せないと指摘する。たとえば、サイバー空間にはネットワーク回線と電力が欠かせず、これらが支配されれば大きな影響が及んでしまう。また、サイバー空間での「知恵の支配」（輿論戦）や「認知の支配」（心理戦）によっては「人の支配」も可能であり、それは「社会の支配」にもつながるとした。

「第5の戦場」は第1から第4までの戦場にも影響を与える — 「第5の戦場」は、第1から第4までの戦場にも影響を与える

　特に日本は、世界第3位のIPv4のIPアドレス保有国であるとして、IPv6を含んだIPアドレス、それらに紐づく機器は、“サイバー空間での国土”とも捉えられると西本氏。つまり、日本は海洋国家であると同時にサイバー国家でもあり、サイバー空間維持のためには「電力」「つなぐ力（通信力）」「計算能力」が必須であり、これらの運用力こそ重要だとする。

　そして、運用（オペレーション）能力は、基本的に決まっていることを間違わずに実施することが肝要だ。一方、サイバー空間はソフトウェアが作り出した仮想空間であるため状況は固定できず、何が起こるかもわからない。つまり、変化が激しい環境下では、PDCAサイクルだけでなく、OODAループも意識した運用が必要だとして、ラグビーを例に挙げた。

　ラグビーでは、攻撃側と防御側がきちんとポジショニングできている状態をストラクチャーと呼び、これは計画通りの行動であるためPDCAといえる。逆に、攻撃側も防御側も予想外となった状態をアンストラクチャーと呼ぶ。そして、強いチームはストラクチャーだけでなくアンストラクチャーでの対応もうまく、一人ひとりがOODAループを基軸とした組織プレイを行うようなものだという。

　セキュリティにおいては、セキュリティ侵害、機器の障害やトラブル、ゼロデイの発覚、事件・事故の報道、政策や法律などの制定、イノベーションの登場などがアンストラクチャーの要素に該当する。特にストラクチャーを研究して真面目に取り組んでいる組織ほど、アンストラクチャーに弱い側面も見受けられるとした。

　また、「サイバーセキュリティこそが重要」と考えすぎることが罠になる可能性もあると警鐘を鳴らす。たとえば、サイバーセキュリティにおける3要素「CIA（機密性、完全性、可用性）」を考えたとき、機密性と完全性に着目することが必要だとして「サイバーセキュリティにサイバーリスクを包含し、全体としてレジリエンスを強化するという発想が重要です」と述べる。

　さらに、セキュリティ人材を確保・育成することが難しいという課題もある。しばしばセキュリティ人材には、腕を磨くことで他者の役に立つという使命感と喜びを持ち、期待と恐れを持ちながら挑み続ける素養が期待されるだろう。そのためには報酬はもちろん、どれだけ最先端の環境に接することができるか、その観点も人材確保・育成においては重要だとする。

　その上で、第5の戦場における組織編成や人材活用、海外との連携について考察。「体制作りと強化は急務だが、今後の国づくりのためには進むべき道筋を考慮し、『国家百年の計』としての体幹を整備することが肝要ではないか」と指摘する。加えて、能動的サイバー防御について言及すると、その要旨を簡素化したとき「官民での情報共有と支援」「官による攻撃態勢の把握」「官による攻撃態勢の無力化」に集約されるとして、推進に向けて考慮すべき点も挙げられた。

　その一環として、あくまでも妄想だと前置きした上で、信頼関係の醸成のためには火事場での演習で常に腕を磨き続けるプロジェクトが必要になると、日程や演習内容を下図のように提案する。たとえば、プロジェクト実施後には警戒時の見回り、サイバー災害復旧などを特別CSIRTとして担うこと、将来的には海外チームとの合同演習や共同活動などに発展の余地もあるとした。

　最後に西本氏は、「多様なストラクチャーを身につけて高度化させつつ、アンストラクチャーにも強い組織を作り上げ、新たな脅威とテクノロジーへと対応し続けることは、自由・民主主義・法治国家では困難だ。しかし、その困難を背負う皆さまに心から感謝するとともに敬意を表す。私たちも引き続き、手立てを講じていく」として、講演を締めくくった。

　なお、例年ならばナイトセッションが開催されていたが、今回はオンライン開催となったため取りやめとなった。伊東氏は「ナイトセッションは、食事を経て行われるため、フレンドリーな雰囲気に変わるのが心地よい」と話しており、次回は現地開催で体感したいと思った1日目となった。

この記事は参考になりましたか？

印刷用を表示

Security Online Press連載記事一覧: 「サイバー防衛シンポジウム熱海2024」初日レポート：台風で現地開催中止も“熱い”議論が交...

「アイデンティティ管理」と共にキャリアを積んだ、Okta リージョナルCSO板倉氏に聞く

横浜銀行がDMARCとBIMIを導入　地方銀行初の試み、導入時に生じた4つの課題とは

もっと読む

この記事の著者: 吉澤亨史（ヨシザワ　コウジ）

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事