今は未曾有のセキュリティバブル?
丸山 日本企業って結局、人を囲い込み、同じ会社の中で転職させるわけですよね。営業やってた人が法務に行ったり、情報システムに行ったりしてるじゃないですか。あれをやるからキャリアが育たないんですよね。会社の中の人間関係が、あの部長とあの部長は仲悪いとか、こっちの部長のほうが1年先輩だからみたいな、それって社会に普遍的な知識じゃない。
欧米の会社は横社会なんで、会社はどこでもいいけど、職としては一本筋が通っていて、私はセキュリティで生きていきますよ、とできる。最初はプログラミングをA社でやりました、そのあとB社に行って、もうちょっと管理をするようになりましたとか、「セキュリティ」というジャンルの中で、会社を移りポジションも変えながら自分のキャリアを築いていくようになっている。会社は変わっているけど、自分のキャリアは一本通っているんですね。
それはどういうことかというと、会社の中で仕組みを作り、こういう役割ですと決めて、その人を募集するわけです。そうするとその募集した人が入ってきて、チームを作って回す。辞めますといったらほかの人が来ます。でも、役割分担が決まっているので、その通りの能力の人であれば機能します。だから取り換え可能になっています。この人は、辞めて、こっち側の、ちょっと給与の高いポストに移り、他の人が来ることによって、社会全体としてのキャリアが築けるようになっている。
日本は終身雇用で囲ってしまう。私たちが話しているクライアントでも、大手企業では「うちの会社の中で育てたい」みたいなことを言うんですね。でもそれは無理ですと言うんです。社員が20万人いるかもしれないけど無理ですと。セキュリティ人材が何人必要なのか。それをずっと一生、今後20年30年、保障できるのか。
猪俣 セキュリティは分析にしろ、解析にしろ、リーダシップ力を出せる人がいないまま、いわゆる仲良しコミュニティな関係でやると結局揉めたりする傾向が多くみられます。結論をどう出すっていった時に、これ本当にマスコミに出すのとか、やっぱりやめようかっていう判断も。だから、いわゆるトップマネジメントとツーカーに話せる人を、少なくとも1人は立てなければいけなくなる時があるんです。もちろん、その会社とか組織が、どういう情報を扱っているかで変わってくるかもしれませんが、たとえば本当にシビアな機微的情報を扱っているところであれば、その情報管理の仕方とか、監査の専門家を入れるかどうかの判断が必要になりますよね。あるいは、うちは単純にインターネットアクセスだけとか、メールだけしか使わないというのであれば、技術を強くしようかという動機付けが起こらず、その場の雰囲気だけで構成が出来上がってしまうと思うんです。
いずれにせよ、組織上の管理者的な立場の人、CIOとか、CISO のような立場に、きちんとした人を据えるというのはやっぱり大事なことなんです。なのに、現実、何もわかっていない役職付きをCISOに据えるんですよね(苦笑)。これが怖い現実、とんでもないことです。Palo Altoとか、言葉1つも通じないんです。本当に恐ろしい名ばかりCSIRTができちゃうんです。残念ながら、大学はまだまだそういうところばかりなのも現実なんです。あ、でも、こんなこと言ったら怒られちゃうかもしれないな。
丸山 いま、CSIRTブームみたいになっていますね。
猪俣 今、異常なぐらいセキュリティバブルですよね。これは2020東京オリンピックのおかげでもあるでしょう。しかし、私はオリンピックよりもそのあとが心配です。リオの時に何が起きていたのかっていうと、言葉は悪いですが、特別なサイバー攻撃による被害が起きていたのでしょうか。実際のところ私たちがいつも慣れ親しんでいるDDoSばかりなんです。もちろん、DDoSを舐めているわけではありません。DDoSによる攻撃は、重要インフラに対しての影響も十分考えられるので、それは人間の生命に対して、なんらかの脅威を与える恐れも確かにあるかしれません。しかし、やはり直接的なことを考えると実際にはそれほど高いリスクではないのかなと思っていたりもします。もちろん、無視して良いと言っているのではありません。想像するに、東京オリンピックでもおそらくDDoS的な、回線逼迫やサーバ過負荷みたいなことが起きる程度ではないかと。とはいえ、私たちの生活を取り巻く重要インフラに対する制御のシステムがインターネット上で動いているかというとそうじゃないですよね。そんな無理やり取ってつけたように考えた脅威を考えるよりも、もっと別のことをきちんと考えておかなければいけないのではないのかなと。
あと、やっぱり残念ながらと言うか、不謹慎な話ですけれども、ドラマに登場するようなカッコいいサイバー攻撃って、もうほぼ無理になってきているような気がします。なんだかんだ言ってMicrosoftさんもWindowsに対する脆弱性対策もすごく頑張っていますし、Linuxのようなオープンソースコミュニティの努力も大きいと思います。実際に、以前と比較して迅速な修正やパッチ作成など、本当に深刻な脆弱性もだいぶ減ってきていますよね。今やほとんどもう、有償OSのソースコードが漏洩するなどよっぽどの深刻な事例がなければほとんど無理ゲーなんじゃないかな。それじゃぁ、結局何が起きているかっていうと、人間のミスで起きた事案ばかりですよね。なんだ、やっぱり我々人間はソーシャルエンジニアリングから逃れられないのかなって。
なので、私は今後のセキュリティって、やっぱり人間系が引き起こしてしまうミスをどう減らしていくのかっていう、当たり前のような課題が続いていくような気がしています。自治体さんなんかもそうですし、企業さんなんかもそうですけども、どれだけセキュリティを学んで対策したといっても、起きうるほとんどのインシデントが、USBメモリを自宅から持ち込んでうっかりやらかしてしまったとか、あるいは、ちょっとした休憩時に、つぶやいた写真の中に重要な情報が写っていたとかいう程度のことが大きな事件になっていますよね。私のようなダークサイドが好きな人にとってはとてもがっかりするようなサイバー攻撃ばかりなんです、結局(笑)。
丸山 技術的にがっかり、ですね(笑)。ただ、先生の指摘は私もそう思っています。なので、できる限り人間系のオペレーションを減らし、テクノロジーを使った自動化をサイバーセキュリティ対策も目指すべきだと思っています。
猪俣 これからもずっとそのようなことばっかりになるのではないかと。だから、人の管理っていうところをきちんと守るにはどうすればいいのか、そういうのを教えられる人っていうのを、育てていかないといけないのかなと思っています。
丸山 それこそ、COBITの中の考え方にも書いてありますし、あるいは古いですけど、リスクマネジメントですか、BS7799から始まりますけど、やはりそういうのはきちんと育っているので、ホームページにセキュリティポリシーの検証みたいなのを書くだけではなくて、それをちゃんと組織の中に根づかせるような教育をできる人が必要なんでしょうね。
猪俣 そこでちょっと疑問に思うのは、トラフィック解析であるとか、マルウェア解析で、そんな優れた技術者ばかりをいったいどんな企業が本当に必要としているのでしょうか。世の中では人材が不足している、急いで大量に増やさなければならないとばかり言われてますけど、本当に問題はそこなのでしょうか? 本当のところ、まさに丸山さんのおっしゃっているような人を育てていかないとダメなのかなと思いますね。残念な話なのかもしれませんが、もうお金があることを前提として、8万人とか20万人とか、根拠が明確に示されていないようない数字を出してきてですね、セキュリティ人材が大きく不足と言われてもねぇ。私はいらないと思いますよ、ほんとに(笑)。もちろん優秀な人は必要なのは事実ですが、そんなたくさんの人たちを受け入れる組織の数はまだ十分ではないはずです。
丸山 来ても採用できないですよね。
猪俣 そんな高度な専門技術しか知らない人は、ってなりますからね。
丸山 オリンピックで煽っているだけで、オリンピックのあと、どうするのか。
猪俣 問題はそこなんです。いろんな大きな組織でセキュリティの部署をまとめて、横断的なほにゃららセキュリティといったグループを作ることが流行っていますけど、オリンピックが終わったあと本当に、それで生きていけるんですかっていうのがとても心配です。いや、本当に真面目な気持ちで。
