サイバー攻撃対策は「セキュリティ」から「レジリエンス」へ　「攻めさせない」と同時に持つべき「超回復」のマインドセット

世界経済フォーラムの意図は「気づいてもらうこと」

片山尚子氏（以下、片山）：あ、ご質問ですね。お願いします。

質問者1：貴重なお話、ありがとうございます。本の中にダボス会議（世界経済フォーラムの年次総会）のトピックもあったかなと思っていまして。そこで「レジリエンス」というアジェンダが取り上げられたこともあると。ダボスのアジェンダセッティングがどのようになっているのか、何かお聞かせいただけませんでしょうか。

片山：本当はオミクロンが流行してなければ、今頃ダボスが開催されている時期ですよね。私もそんなに詳しいわけではないですが、韮原さんが著書に書かれていたとおり、ダボスは、「このアジェンダで行きましょう」と世界経済フォーラムからテーマが発表されて、それに向かって各セッションが準備していく形と私は理解しています。

WEFはシンクタンクでもあるので、その裏ではコミッティ（委員会）がいくつか存在していて、いろいろとリサーチされており、その発表の場がダボス会議でもあります。

1年間ぐらいかけていろんな企業の方々や政治家・官僚の方、アカデミアなどに入っていただいて、ディスカッションしながら、どういう形で持っていくのがいいのか、どういうことが発表できるのかというのを話し合われていると思います。

コンサルタントだと、「これが解ですよ！」と話を持っていくんですけれども（笑）、世界経済フォーラムはそういった解を出すわけでは全然なく、韮原さんの本の「洗脳」という言葉が正しいかは置いておいて（笑）、そこに参加する人々のアウェアネス（意識）を高める、モーメンタムを作ろうとしているんです。

そこから何か起こればいいと。何か起こしてしまうと、それはアジェンダとして切れてしまって、そこからは企業さんとか各国がイニシアチブ（主導権）を持って進めていくことになります。おそらく（世界経済フォーラム側は）モニターはするんでしょうけれども。と、いうのが私の理解です。

「洗脳の場」と表現した背景

片山：世界経済フォーラムは5年、10年先のテーマを検討しています。ここ数年は「レジリエンス」とか「トラスト」とか、そういうテーマでしたね。まさに韮原さんが言っていたように、2014～2016年は、ちょうど「インダストリー4.0」とかがテーマで、DXのテーマで2数々のイニシアチブが走っていたりしていました。

だから最近になって、まさに「5年ぐらい前に議論してたなぁ」みたいなテーマのものをよく目にしますね。実際にダボスに行かれた方として、韮原さんのご意見はどうでしょうか。

韮原祐介氏（以下、韮原）：そうなんですよね。私の体験としては、本にも書いたような気がするんですけど......たまたまマスターカードの会長さんか副会長さんで女性の方と隣合わせてお話をしたんです。「あんたは若いのに珍しいわね」とお話ししていただいて、ちょうど「子どもがそろそろ生まれるんです」みたいな世間話をしてましてね。ちなみに今日、次女が産まれたんですけど。

片山：え！　おめでとうございます。

韮原：今朝ですね。まあその話は置いておいて……。長女が生まれる前にダボスに行ったんです。それを副会長さんにお話したら、「それだったらパタニティリーブを……」って、つまりお父さん側の育児休暇をもう絶対取らないと、と。

ジェンダーフリーだったり、働き方改革じゃないけど、育児に男性も参加するとか、夫婦同姓とか、そういうアジェンダもあるじゃないですか。

私は何かひょこっと、代理のようなお呼ばれの感じで居合わせちゃいましたけど。普通の人は私みたいな裏口入場じゃなくて、それこそ日本の大企業の、経団連の何兆円企業のトップの人が会社として何千万円払って1人か2人行くような場なんです。

60歳になって初めてあそこに行ったら、「やっと自分は世界のリーダーコミュニティに入った」と思うじゃないですか。そこでマスターカードの副会長に、「それはあなた、パタニティリーブよ」と言われたら、「そりゃそうですね」ってなるんじゃないですかね。

初めて世界のグローバルリーダーコミュニティに入りましたけど、欧米は日本人よりも若い頃から行くようで。そうなるとやっぱりみんな（自分よりも年上の偉い人の話を聞いて、）なんとなく「あ、そういうもんなのかな」って思って帰ってきてしまうのかなと。

それを「集団洗脳の場」と、あえてスキャンダラスに書きましたけど。

信じる・信じない、行く・行かないを選択する側の問題

韮原：でもWEF（世界経済フォーラム）は何も（悪くないと思います）。陰謀論的なものの対象にされていることがあって、本当は裏でそういうことはあるのかもしれないですけれども。でも私の感覚としては、信じている側の問題だと思うので。企業の人たちに信じこませるだけのコンテンツをWEFが出しているんですよ。

仮に騙そうとしているなら、それに騙されている側もいるわけです。騙す人と騙される人が両方いて初めて成立するわけだから。仮にそういうことがあったとしても、世で語られている陰謀論的な話というよりも、そこに筋の通る話があるという事実だと思うんですよね。

WEFもそのとおり「私たちはアジェンダを設定します」って書いてあるから。「設定します」と書いてあって、そこに行きたくないんだったら別に行かなきゃいいし、実際もう行かないって決めた日本企業さんもいるわけです。そこは選択なんじゃないかなと思います。そんな感想で、お答えになってますかね。

片山：今思い出しましたけど、2014～2016年の最初の頃は「DX」で、その後「サイバーセキュリティ」もアジェンダにありましたね。それが今来ているから、やっぱり彼らは5年先を見てセットしているんだなと。

韮原：なるほど。じゃあまた転がされてるかもしれない（笑）。

片山：そうかもね。それだけ見る目がすごいんだと思いますよ。

韮原：AIの時は日本国内で転がされている話でしたけれど、私また転がされてましたか（笑）。そんなもんかもしんないですね。

サイバー攻撃対策は、筋トレのような「レジリエンス」が大事

片山：次の質問、お願いします。

質問者2：本の話に戻っていろいろ質問したいんですけれども。本の中で、「サイバーセキュリティ」はちょっと古いんじゃないの、「レジリエンス」の時代じゃないのと（おっしゃっていて）、あと「DevSecOps（開発（development）、セキュリティ（security）、運用（operation） を略したもの）じゃないの」と書かれていたかと思うんですけれども。そのへんについても触れていただけると。

『サイバー攻撃への抗体獲得法 〜レジリエンスとDevSecOpsによるDX時代のサバイバルガイド』

韮原：ありがとうございます。そこが超メインテーマだったにもかかわらず（笑）。

片山：そうです。すみませんねぇ、進行が迷子になりやすく。

韮原：書いて満足して、ほぼ忘れていました（笑）。まず「サイバーレジリエンス」については、さっきも話したように、ゼロデイ攻撃でハッキングされてしまうから、それを前提に考えておかなきゃいけないということです。もちろん「いかに攻めさせないか」も考えた上で、さらにそこから回復する、そして単に元に戻るのではなく、さらにそこから成長するという。

WEFでも「Build Back Better（よりよい復興）」という言葉が使われてました。私の本で書いたのは、元国防総省のCIO（最高情報責任者）のDr.ウェルズさんが言っている「Bounce Forward Better.」前に向かって弾み返るというニュアンスですね。

（レジリエンスは）「強靭性」とか「回復力」と訳されることが多いんですけど、筋肉がちぎれて、よりつながって強くなるというほうが語感として合うなと思い、私は「超回復性」とか「超回復」って訳しました。そういう概念が大事なんですね。

だからもはや「筋トレ」なんですよね。筋トレは何のためにやるかというと、一義的には筋肉を強くするためなんですけど、そのためにちぎってるわけですよね。だから日々の筋トレ的なことが大事なんです。

筋トレをふだんからやっているから、相手が突然攻めてきても大丈夫なところがあると思うので、そのレジリエンシーを身につけていただきたいなと思って書いた本です。

GAFAもやっている「DevSecOps」の考え方

韮原：それをやっていく上で、「レジリエンス」と「DevSecOps」の関係は、サイバーレジリエンスの考え方そのままです。「サイバーセキュリティ」ではなくて、「サイバーレジリエンス」をちゃんとやりましょう。「サイバーセキュリティ」を入れても、「サイバーレジリエンス」という考え方のほうが大事ですよということです。

その上でオペレーションを変えインフラを変え、結果として筋トレをちゃんとやろうとか、仮に攻撃されても治る過程で超回復しましょうというマインドセットが必要で。それはつまり「文化自体の改革ですよ」と書いています。そういうコンセプトです。

では実際に企業の中でいかにやっていくべきかと言うと、今多くの企業でも始まっているのが、ちゃんときれいなファイアーウォール、境界防御を築きましょうという。塀を築くような考え方ですけれども、でもそれは壊れうるので、守るべき塀の中の城そのものの作り方から考え直さなきゃいけない。

だからさっきの家の話で言うと、（今までは）家の門を作り、門に鍵をかけ、ドアを作り、ドアに鍵をかけて、とやってたんですけど。サイバー攻撃はいきなりピュッて部屋の中にワープして、攻撃できうるんです。もちろん外から入ってくるんですけど、地下に掘ってヒュッと入ってくるとか、そういうイメージでできてしまうんです。

そう考えると、やっぱり家の作り方そのものだよね。つまり窓もそうだし、壁の素材とか、そういうこともいろいろ考えなきゃいけない。サイバー世界においては、ソフトウェアの作り方から考えなきゃいけないよと。ソフトウェア開発方法論そのものをみんなで考えましょうということですね。

それが「DevSecOps」という考え方になっています。GAFAとかそういうところもDevSecOpsをやっています。そうはっきり言っていようがいまいが、実質的にはDevSecOpsをやっているわけなんです。

「一番いいやり方」を模索してきたシステム開発方法論の歴史

韮原：簡単にシステム開発方法論の歴史を言うと、1970年ぐらいに「ウォーターフォール」というやり方が出てきました。システム開発は要件定義をして、設計をして、そのとおりにきれいに作っていくと。ビルを建てる時に設計図を描いたら、そのとおりに作っていくのと同じ考え方です。

突然「やっぱり25階建てのビルじゃなくて、30階建てにしたいな」と思っても、基礎から変えなきゃいけないから作れないわけですね。そのとおりに作っていって、手戻りをなくせば最も効率がいいという考え方で、ウォーターフォール開発はあったわけですよ。だからシステム開発も、効率を上げるには設計で考え抜いて、そのとおりに作ろう。それが一番いいやり方ですってなっていたんです。

ただ、会計システムを作る時はそれでよかったんですけど、例えばGoogle検索でも、GmailだとかYouTubeだとか、AmazonのWebサイトだとかも、最初から設計して出来上がったら終わり、「ふー、おつかれさま！」なんて状態ではなくて。

日々のお客さんの反応によって変えるし、ボタンの色だってオレンジがいいのか黄色がいいのか赤がいいのか、位置がどうだとか、いろいろ変えながらやるわけですよね。

つまり20階建てでいったん作ったんだけど、やっぱり天井の高さは2.5メートルから2.85メートルに変えた方がいいねとか。作った後にですよ？　やっぱりレイアウトを変えたほうがいいからどうのこうのっていろいろやりながら、お客さんにとってアトラクティブな家にしていかないといけないというのが、今やられていることです。

だから今Zoomを使っていますけど、Zoomだって機能改善を日々やっている。そういう運用をしながら、システムを作り、作りながら運用していくというのが、Development（開発）とOperation（運用）が一緒になった「DevOps」です。2010年頃からですね。

イーロン・マスクのスペースXでも採用されている「DevSecOps」

韮原：それをやっていく過程に、さっき言ったようなゼロデイ攻撃とかいろいろ出てきて、新しくパッチを当て直したりとかしなきゃいけないので、Securityも入れましょうというので、「DevSecOps」という考え方になったんです。DevSecOpsは、2015年頃以降です。

イーロン・マスクの話をさっきしたと思いますけど、スペースXもDevSecOpsで火星を目指しているわけですよね。イーロン・マスクのスペースXがサイバー攻撃されたら大変じゃんということで、それを守るためにDevSecOpsをやっていこうと。

アメリカ空軍が作っているF-35戦闘機（複数の亜種あり）を作るのに、4,000名のエンジニアが関わっているんです。それぐらいの規模でやっているんですけど、スペースXは200人で9機のロケットを作ってるわけですよ。F-35は1機に4,000人。かたやスペースXは200人で9台。だからDevSecOpsはデファクトスタンダードになっていくのは必然なんだと思います。

開発工程の差は「コードの再利用」

韮原：その差はなんなんだというと、コードの再利用です。書いたシステムのソースコードを、どれだけ再利用していくかということです。

例えばこのフロアで1回床を作っちゃったら、2階も3階もだいたい同じ床なわけですよ。ソフトウェアの世界ではピコッとコピーができるので、あとで2階でも3階でも1階でも地下でも使えるような床を最初から作ろうぜという。そうやっているんですよね。

ところが日本はと言ったらあれですけど、日本の古いシステム開発をまだ守っているところなんかは、例えば官公庁で実際にあった話ですけど、平成から令和に年号が変わる時だったと思いますけど。

西暦と和暦を変換するプログラムなんて、1個書けばその1個を（コピーして）全システムから呼び出せばそれで済む話じゃないですか。究極的には、全官公庁、全自治体で一個のプログラムでいいわけですよ。でも、あらゆるシステムの中に別々の仕様の和暦西暦変換プログラムが入っていたりするわけですよ。そういうことがあると、令和になる瞬間に、あるいは平成になる時に、一個一個全部変えなきゃいけない。

「クラス化」と言ったりするんだけど、同じものは同じところでまとめてやっちまおうという考え方です。そういうことを地道に、ちゃんとコピーできるようにやっていく。そしてシステム開発工程自体を自動化していくことが必要だと思います。本1冊分ぐらいしゃべった気がします。