2024.11.26
セキュリティ担当者への「現状把握」と「積極的諦め」のススメ “サイバーリスク=経営リスク”の時代の処方箋
『サイバー攻撃への抗体獲得法』(サイゾー)刊行記念「サイバー戦争の現在と未来」 ~FAANG、米・国防総省(ペンタゴン)が取り組む新常識を知り、デジタル時代の成長エンジンを得る~(全5記事)
リンクをコピー
記事をブックマーク
片山尚子氏(以下、片山):私から次の質問です。先ほど「Windowsで脆弱性が〜」という話がありましたけど、それを守る方法として、OSを日本独自で作ったらいいんじゃないかということが本に書いてあったじゃないですか。「500億ぐらいでできる」と書いてありますよね。
『サイバー攻撃への抗体獲得法 〜レジリエンスとDevSecOpsによるDX時代のサバイバルガイド』
韮原祐介氏(以下、韮原):ドタ勘(土壇場の勘)ね。ドタ勘で500億。役人さんや政治家の感覚で、まあ500億ぐらいの予算がつけばいいなと。
片山:そういうことなのね。確かに国家予算を考えると金額的にはできそうな気がするなとも思ったんだけど、日本でOSを作った時はどこに載せるんだろうとか。
Huaweiも「Harmony(ハーモニー)」というOSを自分で作っているじゃないですか。今載せた機器が1.5億台ぐらいにもなっている、ただ、「サードパーティー(OSに対応していくソフトウェアや周辺機器を提供している企業)に入れていくのが課題だ」と書いてあるニュースで読みました。
WindowsとmacOSが世の中のスタンダードになっているところで、独自で作ってビジネスになるのか、勝っていけるのかというところがちょっと気になって。
韮原:いや、それはごもっともなグッドクエスチョンでして。某省の某サイバーセキュリティ関連の担当課長さんにご提案申し上げたところ、「いやぁ、もうごもっともで。ただ、完成まで国で旗を振っても、使ってもらえないんじゃないのかと思うんですよね」って。
以前にもサイバー対策としてではなく、国の成長戦略として(独自OSの話が出たようです)。今のサーバーのOSはLinuxが主たるところで、MicrosoftのWindowsOSとかもあったりだとか。
パソコンはmacOSとWindowsですよね。携帯だとまたiOSとAndroid。
韮原:国産のOSって昔は「TRON」とか……。今も一応あるにはあるんですけどね。30年ぐらい前に針を戻せば、まだ日本もがんばれた時代があったんだと思うんですけど。今はもうよそのものに乗っかるしかない。
AppleにiPhoneと一緒にOS(iOS)を世界中にばら撒かれた後、その上でビジネスをしようと言ったって、もう乗せた瞬間、Apple上の課金の30パーセントはAppleに持っていかれてたわけじゃないですか。いまはもうちょい下がってきたりとかもしますけど(※現在は15パーセント)。やっぱりどうしても不利だよねというのはあると思う。
もちろん人にもよると思いますけども、官庁の方でも日本産のOSを作りたい方がけっこういらっしゃるようなんですよ。ただ片山さんがおっしゃったように、いまさら載せ換えるのはハードルが高いよねということです。以前トライした時も、使ってもらうハードルがすごく高かったらしいんですよね。
どうしたらいいかというと、「だったらこれから作る分については国産にしていけばいいんじゃないのかな」と思うんですよね。
例えば電力政策として、小型の核融合炉を作っていこうという方向があるわけですけど。そういうところを作るところから、日本産OSを使ってしまいましょうと。そこでLinuxを採用すると、Linuxの未知のゼロデイの脆弱性が出て、小型原子炉は国産だけれども、そのLinuxOSのせいでハッキングされるというリスクが残るんです。だったら、これから作っていくものに対しては1個チャンスがあるんじゃないのかなと。
もう1個は、システムって時々新しいモノに載せ換えるじゃないですか。逆に今、経産省が問題にしている「2025年問題」のように、すごく古いシステムのままのものがいっぱいあるんです。そこでどうせ載せ換えるのであれば、その時にOSごと新しくするとかはあるんじゃないですかね。
ただ日本の問題は、これからクラウド化がもっともっと当たり前に(なるというところ)。どうもアメリカのコンピューター資源も、まだ10パーセントしかクラウド化されていないそうで、まだ9割はオンプレで残っているということです。まだこの先、10倍のクラウド市場があるんですよ。
日本だと、たぶんその半分とか3分の1ぐらい、まだ3パーセントとか5パーセントくらいなんだと思うんですね。ということは、20~30倍のオンプレがまだ残っているわけです。そこでやはり「クラウド化」という文脈が問題になる。
仮にOSを作ってもハードウェアはクラウドで借りてくるとなると、このままいくとAWSさんとGoogleさんとMicrosoftさん、あとIBMさんになります。もちろん国産のクラウドサービスをやっていらっしゃる会社さんやSIerさんはいます。大抵どこでもクラウドベンダーとしてはやってはいるものの、その上に載せる便利なツールキットの開発だとか、要は規模の問題で、今のところは後塵を拝している状況だと思うんです。AWS、Microsoftさん、Googleさんなんかは兆円単位の投資をしているわけで。
OSだけ作ってもしょうがないということで、やっぱりハードを作りたいし、ハードを集めて、便利に使えるようにするクラウドサービスを作らないとほんとはいけないと思うんです。
ただ、ここは勝負が決しちゃった感がややあるので、今からAWSに勝つというよりは、もう乗っかっちゃったほうがいいじゃんと。でもハードは借りてきていても、その上で動くOSから上は日本独自のものになっている。
(ハッカーがネットワークに)侵入してみたいけどこのOSようわからんという状況になれば、ハッキングしづらいです。というか、日本人にしかハッキングできないという状況になるので、かなりセキュリティレベルは上がると思います。
片山:なるほど、理解できました。ありがとうございます。
韮原:でも本当に、これは複雑なんですよね。
片山:その理由はレイヤーがいっぱいあるから?
韮原:そうなんですよ。ハードウェアの勝負とそれとOSとその上のアプリレイヤーのサービス。でも中国は全部中国製造にすると決めて進めています。全部国産で作っていかなきゃね。だからチップも自分たちで作ろうとしているんです、中国は。
さっき言ったHuaweiがOS作っているという話も、その流れの中で出てきた。「あらゆるものを国産で作っていこう」という国策の中で、OSも作っている。チップも今がんばっている。スパコンとかも一時期トップをはってがんばっていたんだけど、富士通さんと理研(理化学研究所)を中心とした「富嶽」がここ数年巻き返していて。日本はスパコンの世界では、けっこうまだまだ「富士通さんすばらしい、理研さんもすばらしい」という世界に誇る状況だと思いますけどね。
その辺を、もっとみんなでがんばろう、国として応援していこうという感じだと思います。
片山:実際に国全体として、いまおっしゃられたことをやっていこうとすると、人材面での課題が出てくるのではないでしょうか。それができる人材、技術者を作っていかないといけないと思うんです。そういった最先端のことができる技術者は、日本にどれぐらいいるのか、という疑問があります。
もし現時点でいないのであれば、どのように増やしていけるのでしょうか。。
韮原:そのとおりなんですよね。まず、そういう職業に就く、コンピューターサイエンティストになる、ソフトウェアエンジニアになる、大学で情報工学に進む、とかね。そういうこと自体がかっこいいと思われることとか、たくさん稼げるってことが大事だと思うんですよ。
僕は東進ハイスクールという、12万人くらいの中高生がいる予備校の系列で先生もやっているんですけれども。ただ高校生には教えていなくて。AIの文脈で、その(AI人財育成のための)講師をやってるんです。
東進の方々と話してても、「みんな東大とか医学部に行きたいと言う」と。それはおもしろくないと言ったらあれだけれども。「お医者さんも、コロナ禍で(欠かすことができない)すばらしい職業なんですけれども、他にもいろいろあるよって見せていきたいんですよね」とおっしゃっているぐらいなんですね。
予備校なんて点数を取らせて、どこでもいい大学に行ったらいいじゃんと思うんだけれど、(そんな予備校の人たちが)そういう問題意識を持つぐらい、今の受験の仕組みが「偏差値の一番高いところにいくのが一番だ」という、ひずみみたいなものがある。
そこですよね。偏差値の一番高いところにいくと、一番すごい・かっこいいと思われるから、やっぱり東大の理三にいきたいし、京大や千葉大の医学部にいきたいんです。でもそこで「情報工学が一番稼げて一番イケてるぞ」となれば。
片山:(学生もそこに)いくんじゃないかなと。
韮原:結局それは金の理論なんですけれど、でもそこにエキサイティングさがあるかということだと思いますよ。サイバーの世界にはそのエキサイティングさがあると思います。
コンサルティングファームも、別に給料が高いからコンサルティングファームにいらっしゃるというよりも、たぶん仕事がエキサイティングだからやってるんじゃないんですか。
片山:そうですね。自分のクライアントさんや日本、世界がいい方向に変わっていくとか、クライアントさんに喜んでもらえるとか。自分が関わってきたことが、直接的であれ間接的であれ世の中にインパクトがあると思うと、楽しくやっています。
片山:まさにそういう意味だと「セキュリティ」って、人を、企業を、国を守るというすごい大きなビジョンやパーパスがある仕事だなと思いますね。
学生の採用面接をやっていている中で、学生の志向は変わってきたと思います。昔はギラギラした「稼ぎたいんです」という人も来てたと思うんですよね。私の周りを見ても、そういう人も一定いました。
でもなんか今の若い人達って、「(自分が)どう社会に役立てるんだろう」と(考えたりと)か、我々の世代とは違う新しい価値観を持っているから。これはセキュリティに光を当てていく、1つのチャンスなんじゃないかなって、今聞いてて思いました。
今日もある企業の方と話していると、やはり「『データサイエンティスト』がかっこいいみたいなイメージが、他の職種よりもあるんです。だから名前を『データサイエンティスト』として(求人を)出したら、すごい応募がくるんですよ」と仰ってました。
韮原:(笑)。
片山:だからセキュリティはかっこいいとか。「守る」という言葉に、外向きではなく内向きなイメージがあるのかもしれないですが、仕事の価値観とか、どんなことができるのかがみんなにイメージができるようになると、変わってくるのかもしれないですね。
韮原:そうですね。高校生が「セキュリティ」と言われて一般的にイメージするのは、ライブとかに行くといる警備員の人。そういうイメージではないかなと。
この本でも書きましたけど、「レジリエンス」とかに名前を変えて、もっと戦略的に(イメージを変えていくべきです)。セキュリティもレジリエンスもそうですけど、何かがあって初めて(必要になるものなんですよね)。
家を建てたから鍵が必要になる。家を建てたから門が必要になるとか、そういう順番なんです。主は家なんですよね。つまり「住まう」という機能を提供する箱物が主なんです。それに対して守るものとして、初めて生まれてくるものなんですけど。
もはや家を建てたら、防犯するのは当たり前じゃないですか。今も田舎に行けば鍵をかけずに家を出るところもあると思うし、うちのおばあちゃん家も昔は鍵はかけてなかったですけど。日本企業は、まだそういう状態だと思うんですね。「鍵をかけてないおばあちゃん家」の感覚なんです。
だから今後は、ホンダさんも工場が止まり、ベネッセさんも顧客情報が随分前に流出し、JALさんもビジネスメール詐欺に引っかかって何億円とか振り込んじゃったりってなれば、大企業においてはセキュリティもセット(で考えるよう)になるんですけど。
韮原:ただそれが、「成長戦略と結びつくのか」が大事なんです。企業の話になると、IT部門の立場そのものが稼ぐ花形部門になっていく。まさにGoogleとかFacebook、Amazon、テスラは「IT部門」なんて存在しないじゃないですか。全部がIT部門だから。そこが主なビジネスが生まれてくることであり、そうやって変態して、トランスフォームしていくようなことが求められるんです。
IT部門が主役となって一番稼ぎ頭になり、稼ぎ頭であると共に守りも固めるセキュリティとかレジリエンスのエンジニアであったりチームであったり。企業内でポリシーを考えるような人が、かっちょよくなっていくという。けっこう壮大な話です。産業構造とか、企業経営の常識を変えていく時期なんだと思うんですよね。
「DX」とか言ってツールを入れてる場合じゃなくて。そもそも稼ぎのメインになる、そこをどう変えるか。自社の構造、業界構造、産業構造をみんなで変えていくという時に、一緒にサイバーレジリエンスも考えましょうということなんですかね。
そうなれば、勝手に人は「そっちがメインで一番かっこいい職業なんだな」みたいになるので。
そこで世界の決勝戦ぐらいまでいくような日本の方々も出始めていて。韓国の人が優勝したり、アメリカのカーネギーメロン(大学)が優勝したりする状態で、まだ優勝はしていないんですけど、そういうファイナリストになる人が出始めている。
その人たちが、自分たちでベンチャーをやってるんですよね。そういう会社はすぐにもうジャブジャブ儲かって、ベンチャーキャピタルの投資もバンバン入っていく状態の相場になっていくと思うんですけど、それがいいじゃんっていう気はしますね。
できるハッカーは、「サイバーセキュリティができる人」じゃなくて、「システムがめちゃくちゃ作れる人」なんですよ。めちゃくちゃ作れて全部知り尽くしてるから、攻撃の仕方もわかって、だから守れるという順番なんです。結局ハッカーが一番技術力が高いんです。
片山:システムを作るという話では、企業はIT開発を外に出したり、特にコスト削減の観点から運用は外部に出すということが現状はあるじゃないですか。その辺りも変わっていかなきゃいけないんですかね?
韮原:そうですね。概ねYESなんですけど、個別判断はケースバイケースかなと思っていて。
とにかく1円でも安くあげておいたほうがいいもの、つまりその会社を動かすには必要なんだけれども、競争優位の源泉たるものではなく、単に必要なものなので、安ければ安いほどいいですという。例えば鉛筆を買う時に、(書けるなら)1円でも安いほうがいいですという感覚のものもあるじゃないですか。
今の日本の企業の多くにとって、IT部門、IT資産がそういう存在なんだと思うんですよね。会社を動かすためには、ERP(企業資源計画)とか会計システムが最低限ないと財務諸表が出せませんよね。でも財務諸表を出すためだったら、1円でも安いほうがいいですよみたいな。
それをERPベンダーさんとかは、「いやいやバリューがあります」と言っていろいろ乗っけて付加価値を足して売ろうとしてらっしゃるんだと思うんです。でも財務諸表を出すためだけのものは、どこまでいっても財務諸表を出すためだけのものです。そこで改善のための意思決定はあるのかもしれないですけど。ERPを触っていて企業の新規ビジネスとか絶対に思いつかないので。
IT投資だといいながら、なんだかんだ会計システムに投資している。会計システムって帳簿じゃないですか。帳簿はビジネスのあとでつけるだけのものだから、それをきっかけに稼げるかも、みたいな幻想と誤解から逃れたほうがいい。
ERPベンダーさんとかコンサルファームさんも、もしかしたらそういう提案をしちゃってるのかもしれないですけど。その辺からなんじゃないですかね(笑)。
片山:(笑)。なるほど。ありがとうございます。
片山:なんだかんだ言ってたら、1時間、私と韮原さんでしゃべってましたね。
韮原:はい。ほぼしゃべってしまいました。はい。
片山:この辺から会場のみなさんとかオンラインでお聴きいただいているみなさんからの質問とかも受けていきたいなと思います。何かみなさんのほうでありますか。オンラインの方はチャットに書いていただいたら、こちらのほうで読みあげます。
余談ですが、今日話をしていて思ったんですが、IT文脈の「ウイルス」って、本当にいわゆる病原菌のウイルスと一緒だなと思って。
私たちは今、コロナに向けて免疫を高めようって、ふだんの生活から気をつけて、手を洗ったり予防してるわけじゃないですか。一方ではお医者さんがワクチンを作ったりして。それって本当にサイバー攻撃と同じなんだなと思って。
自分たちでちゃんとアップデートしたりケアして、普段の生活での行動を変えていかなきゃいけない。企業は企業で免疫を高める体制とガバナンスを作ったり、攻撃に備えてのワクチンみたに対策を準備しておかなきゃいけないということでしょ。「ウイルス」という言葉をよくつけたなと思います。
韮原:そのとおりですよね。だからさっきちょっと話した、「ホラーストーリーが実は効くんじゃないか」というのがまさにそこで。やっぱり身につまされてはじめてやばいとわかるんです。
韮原:コロナのような生存の危機みたいな状態になると、脳の中は扁桃体という、一番真ん中の部分、つまり猿時代から持ってる部分が発火しちゃうんです。怖いと感じると、前頭葉とかあまり動かなくなっちゃうんですよ。
前頭葉は複雑な思考や理性的な判断をするところです。扁桃体が発火すると、とにかくリスク回避的な行動になり、そして他人に対して攻撃的になってしまう。だからコロナのはじめの時、マスクをしてない人に大騒ぎされてしまったような人がけっこう問題になって、「そこまで?」と思うことがあったと思うんですけど。それって扁桃体が発火している状態で、恐怖に陥れられてしまっている状態だったりするんですよね。
その状態をあえてビジネスマンに対して作る、というのは倫理的に嫌な気がするのですが……、そのへんを刺激しつつ、でも冷静に考えられるくらいで、「何か必要なことがあるでしょう」と理解していただくのが大事なんじゃないのかなと思っていますね。
片山:なるほど。
韮原:今や全部コンピューターで、この先コロナがどういう変異を遂げるのかも、シミュレーションできるわけだから。変異シミュレーションした結果、オミクロンの次の、なんとかトロンでもなんでもいいですけど、予測しておいて事前にワクチンを作っておくことも、結局コンピューターでやっていく問題なので。
まぁ対応するのであればですけれども、やっぱりコンピューターってコロナ対策においても大事ですよねと人々が気づいてくれば、自然と僕の本も蔦屋書店でもっと売れるのかなと思っています(笑)。
片山:うまくまとめますね。
2024.11.21
40代〜50代の管理職が「部下を承認する」のに苦戦するわけ 職場での「傷つき」をこじらせた世代に必要なこと
2024.11.13
週3日働いて年収2,000万稼ぐ元印刷屋のおじさん 好きなことだけして楽に稼ぐ3つのパターン
2024.11.20
「元エースの管理職」が若手営業を育てる時に陥りがちな罠 順調なチーム・苦戦するチームの違いから見る、育成のポイント
2024.11.20
成果が目立つ「攻めのタイプ」ばかり採用しがちな職場 「優秀な人材」を求める人がスルーしているもの
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.11.19
がんばっているのに伸び悩む営業・成果を出す営業の違い 『無敗営業』著者が教える、つい陥りがちな「思い込み」の罠
2024.11.18
20名の会社でGoogleの採用を真似するのはもったいない 人手不足の時代における「脱能力主義」のヒント
2024.11.21
初対面の相手から本音を引き出す「核心質問」のやり方 営業のプロが教える、商談成功のカギを握る質問力アップのコツ
2024.11.13
“退職者が出た時の会社の対応”を従業員は見ている 離職防止策の前に見つめ直したい、部下との向き合い方
2024.11.22
40歳以降の「つみたてNISA」と「iDeCo」運用の優先順位 老後のための資産形成のポイント