Googleの「サイバー攻撃に勝つための仕組み」ができた背景　専門家が教える、私たちができる「サイバーレジリエンス」

サイバー攻撃被害にあって開始された、Googleの多段階認証システム

司会者：あとオンラインの視聴者さまからご投稿も頂いているので。

片山尚子氏（以下、片山）：オンラインの視聴者からは「国内外問わずセキュリティに関する好事例あれば教えていただきたいです」とのコメントです。

韮原祐介氏（以下、韮原）：なるほど。Googleという会社とEquifaxという会社の2つを挙げるんですけれども、残念ながら2社とも「攻撃されたからちゃんとやった」という例です。

Googleは2006年頃中国にいって、「google.cn」を作って検索システムを作りました。そこで「検索結果の検閲に応じろ」って共産党政権側から言われて。「それは嫌です」「インターネットの自由に反する」と、諸々あって「中国やーめた」と。

彼らのブログで公表してますけど、ちょうどそのタイミングで実際にハッキング被害にあっているわけですよ。重要なインテレクチュアルプロパティを、知的財産権を中国で盗まれたと公表しているんですね。

その後Googleがやり始めたのが、「ゼロトラスト」です。例えばGoogleのシステムで、Gmailに入ろうとしても「2段階認証で開けてみてください」とか、別のアプリで「これは確かに私です」と言ったら入れるよとか、多段階認証になっています。AmazonとかもSMSで2段階認証のチェックが飛んでくると思うんですけど。ちなみに7payではこれをやっておかなくて、それを社長が知らなくて記者会見後に糾弾されていました。

攻撃されたから「次は絶対攻撃されたくない」という状態で、Googleさんもがんばったんです。結果としてGoogleの始めた「ゼロトラストネットワーク」という考え方が先端的な事例になっている。そういう意味では、先端をいっているからこそサイバー攻撃被害にあって狙われて、それにより勝つための仕組みを考えたという、まさにレジリエンスそのものです。超回復してますよね、ということかなと。

各国各社が量子コンピューターへの投資をする理由

韮原：もう1社のEquifaxは、クレジットカードの与信とかをチェックする会社です。そのデータ分析で、何百万件だか何億件だか、ちょっと忘れちゃいましたけど被害を受けました。そこから回復プロセスを、ここ数年、けっこう爆速でがんばっているんです。

「DevSecOpsでがっつりやっていくぜ」というかたちですね。今までのやり方が間違っていたからDevSecOpsをやらねばという感じになってますね。

片山：もう少し時間があるので、2つめのオンライン視聴者の質問に行きましょう。

韮原：「以下の議論にご見解を。（1）量子コンピューターの技術で現在のインターネットセキュリティは突破されてしまうという説。（2）AIや量子コンピューターや量子暗号通信で中国が西側を凌駕し、技術標準（技術覇権、テクノヘゲモニー）が、中国に握られてしまうという説」。

量子コンピューターの技術で、現在のインターネットセキュリティは突破されてしまうか？　それは突破されますよね。要は（1）はYESです。ただしその量子コンピューターがいつできるのかという問題ですね。

量子コンピューターに対する国としての投資をみんなが一生懸命がんばっているし、IBMだってGAFAだってがんばっています。AFAはやってないかもしれないけど、少なくともGoogleはやっててがんばっている。

その理由は、やっぱり最も計算力の速いコンピューターを持っている人が勝つわけですよ。今ある暗号の仕組みは「RSA暗号」と言って、要は素数の性質を使って、計算力がすごくかかるものをやると計算しきれないから、それが暗号として機能するわけです。それがぱっと計算できてしまえば、という話なだけなので。

それで量子暗号が期待されている……。期待という言い方はあれかもしれないですけど、（投資対象になる理由の）1個です。量子コンピューティングが実現された暁には、それはそうなるでしょうと。だからみんながんばっているんだと思います。

各国各社が量子コンピューターへの投資をする理由

韮原：ただ聞くところによると、世界で流通しているコンピューターの暗号って……。私は聞いただけのことなので、事実だとは言えないんですが、噂話として、アメリカの某諜報機関、スノーデンがいたところが解読できない暗号は作っちゃいけないらしいんです。

片山：そうなんですか!?　そんな権限までもっているの！？

韮原：そう。そこが突破できない暗号を作った人が「脅された」って、ずいぶん前に言ってました。

片山：へ～。その方に会われたんですよね？　

韮原：もちろん。「俺、脅されたよ」って言われてました。

片山：諜報機関ってドラマの世界ではよく出てきますけれどもね、現実の世界で、そういう会話が行われているのですね。

韮原：なので全部の暗号を解ける可能性が高いし、その人は「あそこは全部解けるよ」って言ってましたけどね。

片山：なるほどね。それは1つの陰謀論ですけど、おもしろいですね（笑）。

韮原：噂話です。でも世界一流のコンピューターサイエンティストご本人が、「俺脅されたぜ」って言っていたので。

片山：脅されて「あ、やめとこ」ってなったってことだよね？　

韮原：やめとこうっていうか、聞かれたのは「君はこれ、最後どうなっても解けるんだよね？」って聞かれて「もちろん僕が設計しましたので」と言ったら、「よかった。君は拷問には弱そうだから」って。

片山：（笑）。

韮原：要は「君を拷問すれば答えがわかるのね、あぁじゃあいいよ」みたいな（笑）。

片山：なるほど。そういうことね……。陰謀論は尽きないですね。

韮原：ご本人が話してた。僕は見てないですよ？（笑）　でも本当だとしか思えない。僕はそれを信じてますけど……。じゃあ質問の（2）にいきましょう。

中国が覇権を握る可能性がある理由

韮原：「AIや量子コンピューターの……」それね。中国が覇権を取るんじゃないのか。これはまだ私にはわからないですね。蓋然性はすごく高いと思います。なぜなら人口も多いですし、これからお金もどんどん稼ぐし、国としてこの領域を研究開発しようと決めていけるじゃないですか。

日本よりもより強力なトップダウンでね。日本もトップダウンは利いてますけど、中国は日本やアメリカよりも強力に利いているわけですね。

アメリカの元国防総省関係者の人の話では、国防総省にとってもそれが脅威だというわけですよ。国防総省のお悩みは、「GAFAがうちと協力してくれないんです」と。ミリタリー案件は社員がやりたくない。実際はもちろん協力している部分はあるんですけど、でも最高の技術にアクセスできないという国防総省さんのお悩みがあって。

つまり、国防総省はアメリカの民間の最先端技術に必ずしもすべてアクセスできるわけじゃない。でも、中国共産党政権はそれが可能な状態であると。というか政権を持つ共産党と大企業が一体的な組織であると。

技術覇権を取りきるのかというのは、今のところですよ。OSちょっと作り始めたのはHuaweiだけでしょう。Huaweiの携帯電話だって、最近の話で……。なんかそのへんに（関係者）いないですよね？　

片山：すごいセキュリティがここにない限り聞かれてるかもしれませんよ……（笑）。

韮原：すごくオープンなところでしゃべっちゃってるんですけど（笑）。今中国は猛烈にがんばっているところで、結局本当に（2）のようになるかは、ほぼ経済力と並行になると思います。

経済力で中国がアメリカを抜く日が来たら、日本はどうするのか

韮原：経済力で中国がアメリカを抜く日が来るのであれば、それはコンピューターのエリアでもそうだし、もちろん太陽光発電とか自然エネルギー発電とか、そういうところでもそうですよね。

今一部の領域で、例えばリチウム電池なんかはトップをいっているし、レアアースとかもかなり押さえている状態にあるので、そういういろんなこととセットで本当に覇権になった日には、それはそうなるだろうなという感じですかね。

その時日本はどうするか、よくよく考えなきゃいけないことだと思います。両方と仲良くするのか、どっちかとだけ仲良くするのか。どっちにもいい顔してどっちにもつかないのか。自国の軍事力を、どっちもいい顔をしておいてちゃんと高めていくのか。そういうのを選ぶ時期、というかかなり遅いんだけれども、今からでもちゃんと選ぶべきだとは思いますね。

個人で取り組めるDevSecOpsやレジリエンスは？

片山：ありがとうございます。ちょっとお時間がないので、最後の質問ですね。「個人や少人数レベルで行えるDevSecOpsや、レジリエンスの取り組みなどがあれば教えていただけないでしょうか」。とてもいい質問ですね。

韮原：超いい質問です。もし英語ができる方であれば、国防総省の「クラウドワン」とか「アイアンバンク」とか「Department of Defense」、「DevSecOps」、「library」とかで検索してみると、国防総省が作った資源が使えるようになってます。その辺を見て使えるものから使っていくのがありだと思います。

少人数レベルのエンジニアとしても、まあ使えるとは思います。GitHubに上がっているものもあるし、国防総省側の環境に上がっているものも確かあったと思います。その辺はかなり使えるリソースではなかろうかと思います。もちろん個人のニーズによりますけど。

片山：それは私みたいに何もわかっていないものが開いてもわかるんですか？　それは無理？　

韮原：いや、ソフトウェアエンジニア用です。

スマホネイティブ世代のほうが感度の高い「レジリエンス」の感覚

片山：わかりました。私みたいな素人は何をすればいいんでしょうか。

韮原：素人は、スマホのアップデートを頻度よくしてください。そして私の本をお勧めする（笑）。

片山：啓蒙活動ね（笑）。

『サイバー攻撃への抗体獲得法 〜レジリエンスとDevSecOpsによるDX時代のサバイバルガイド』

韮原：はい。Amazonのレビューを書いていただく（笑）。お願いばっかりですね。あとは『サマーウォーズ』とか『スマホを落としただけなのに』を見る。そして周りに「ちょっとやばくない？」と言う。

でも若い世代の人、就活生とかの大学生に「サイバーセキュリティ、レジリエンスについてやっている」と言うと、「『スマホ落としただけなのに』を見たら、すごく怖かったですね」「すごく大事なことですね」って言ってくれるんですよ。

普通の30～60代のビジネスマンの感覚よりも、若い人のほうがそういう感覚が鋭敏ですよね。

片山：デジタルネイティブだからね。ありがとうございます。

すぐできることは、スマホのアップデート

片山：私はこの本を読んで、まず母に言いましたよ。「OSアップデートしてください」と。

（アップデート通知が）来たけどいつも何をしたらいいのか、わからないって言っていて。「これはどうするの？　帰ってくるまで置いておくわ」みたいなっちゃうんです。実家に戻るのは数か月後とかになるので心配です。でも、親の世代だとそういう人が多いんだろうと思います。

韮原：そうですね。

片山：なので、まずこの本を勧めました。「読んでください、お母さん。難しそうに見えるけど、DevSecOpsがわからないかもしれないけど、携帯のアップデートが大事なのが読めばわかるから」と。

韮原：ありがとうございます。

片山：お時間もここまでですかね。みなさん今日は、金曜日のディナーの時間に来ていただきましてありがとうございます。ちょっと前半、私があまり本と関係ない質問をいっぱいしてしまったんですけど……。

韮原：いえいえ、私もなんかハレンチな話をして、すみませんでした（笑）。

片山：エンジニアの方は国防総省のサイトを見ていただいて、一般人はこの本を読み、スマホのアップデートを忘れずに、今日からやっていただければと思います。最後にご案内がありますか？

韮原：うちの会社のイベントがあって、これはサイバーセキュリティはちょっとあまり関係ないんですけど、人材コンサルタントとしての顔で。来週、カンファレンスがありまして。

「経営視点で動かす　人と組織の未来戦略カンファレンス」、ぜひご参加ください。私が書いたホワイトペーパーもあったり、以前にやったイベントもYouTubeに上がっています。このイベントもYouTubeにあがります。

Microsoftさんがカルチャー・トランスフォーメーションをどうやっているのかとか。ちょっと今日は人と組織の話があまりできなかったですけど。

あとは福岡銀行さんとかNTTデータさんとか……。来週はそうした皆さんさんをお迎えしていろいろお話をうかがいます。デジタル改革とピープルアナリティクスの未来とかですね。トランスコスモスさんとかグロービスさん、ブレインパッドなどが登壇します。

実は、マイアミ大学の先生もしゃべってくれます。そういうイベントがありますので、ぜひご登録いただいてご参加いただければなと思います。「HRD NEXT」で検索すると出てきます。みなさんどうもありがとうございました。

片山：ありがとうございました。

（会場拍手）