国防とサイバーセキュリティ。まったく別ものに思えるかもしれないが、片や他国の攻撃から国土、国民やその生命・財産を守り、片やサイバー攻撃からビジネスの遂行やその資産を守る。どちらも大切な資産を守るという点などで共通点は多い。コロナ禍を踏まえたサイバーセキュリティの現状、そして今後打つべき対策はどのように変化しているのか。長年、国家レベルのセキュリティに取り組んできた伊東 寛氏に話を聞いた（聞き手：日経BP総合研究所 上席研究員 菊池 隆裕）。

国立研究開発法人 情報通信研究機構
主席研究員
伊東 寛氏
1980年4月 陸上自衛隊に入隊。2007年4月にシマンテック総合研究所に入社し主席アナリストとなる。2010年6月ラックに入社し、ナショナルセキュリティ研究所所長。2016年5月 経済産業省に入省。サイバーセキュリティ・情報化審議官を務める。2018年からファイア・アイで最高技術責任者。2020年10月より現職。

お濠や石垣で“お城”を守ることの意義が薄まる

―― 伊東さんは、元々自衛隊のサイバー戦部隊にいらっしゃったのですね。

伊東　27年間、自衛隊に勤務しましたが、最後の仕事がサイバー戦部隊の初代隊長でした。そこでの任務を通じて、サイバーセキュリティこそが私のライフワークであり、日本の、そして世界平和のためにこれが必要だと確信するようになったのです。その後、民間のセキュリティ企業に移り、サイバーセキュリティの研究、普及、啓発に務めてきました。

その経験を基に現在の日本企業の対策状況を見ていると、多くの課題があると感じます。例えば、“お城”をイメージしてください。周囲に深いお濠や高い石垣があり、それぞれの門には門番がいて、人やモノの出入を厳しくチェックしている。これが、今多くの日本企業が行っているサイバーセキュリティ、いわゆる「境界防御」です。ところが、コロナ禍でテレワークが普及したことで、状況は大きく変わっています。自宅やカフェなど、“お城”の外で仕事する人が増えたことで、お濠や石垣で守ることの意義が相対的に薄まりました。代わりに個々人の端末、つまりエンドポイントを守る必要性が高まっているのです。

―― 環境が変化しているのに、守りの側は変わっていないということですね。

伊東　その通りです。その意味で今は「攻撃者優位の時代」といえるでしょう。ただ、このような攻撃と防御の有利・不利は、常に入れ替わりながら進化するもの。このことは軍事の歴史を見ても明らかです。

例えば昔、塹壕を掘り機関銃で守りを固めた陣地、これは当初、突破困難とみなされていました。これに対し防備の間隙の弱点を見付けて内側に入りこむ戦術を編み出したドイツ軍。あるいは、戦車などの新兵器を開発し力で押し入ったのはイギリス軍でした。すると今度は守る側も防衛線を二段、三段にしてより強固な体制を確立します。このように、有利・不利が目まぐるしく入れ替わりながら歴史を重ねてきたのが軍事です。サイバーセキュリティも似た要素があります。だからいたずらにサイバーセキュリティは攻撃側有利だと諦めず、防御側もやるべきこと、やれることをしっかりするべきなのです。

ハードウエア、ソフトウエア両面の対策が不可欠

―― それでは、今重要性を増すエンドポイント対策については、どのようなことを押さえるべきなのでしょうか。

伊東　柔らかく耐える力とともに回復力、復元力をあらわす「レジリエンス」が、今後のサイバーセキュリティを考える際のキーワードになると思います。

これも軍事の歴史になぞらえてお話しします。例えば、日本軍の戦闘機である零戦は、攻撃力に優れていましたが、防御性能は高くありませんでした。それに対し、米軍のムスタングはパイロットを保護する堅牢な防弾版や特殊な燃料タンクを備えており、被弾しても飛び続けられるように設計されていました。これは、レジリエンスへの意識の差を表わす1つの例といえるでしょう。

また、日本海軍が壊滅的な被害を受けたミッドウェー海戦も、空母の設計思想の違いがその結果に影響したといわれています。例えば、日本の空母は艦の内側に給油パイプが通っていましたが、米国の空母は外側に配備されていました。そのため、仮に被弾しても、火災が空母の内側まで及ぶことがなく、ダメージを低減できたそうです。さらに、艦内の消防部隊も、調理や修理を担当している人員を臨時に編成してまかなっていた日本に対し、米国は専門の人員を常駐させていました。このような差が、明暗を分けたといわれています。

―― 攻撃を受けることを前提に、「ダメージをどうコントロールするか」を考える。同時に、早期復旧に向けた体制も整えておくということですね。

伊東　その通りです。これが、そのまま現在のサイバーセキュリティにおけるエンドポイント対策の要点といえます。例えば、空母はハードウエアのたとえです。パソコンを選ぶときは、セキュリティを含めた設計思想の違いに目を向ける必要があるでしょう。消防部隊の話はソフトウエアです。防ぎ切れない攻撃があることを前提として、被害を最小限に抑える仕組みを考えておくことが肝心だと思います。

一般に、セキュリティ対策はどうしてもソリューションの導入ばかりに目が向きがちです。しかし、より広い視点で考えなければ、真の意味のサイバーレジリエンスは実現できないのです。

建物の塀や天井と、セキュリティ対策は同じ

―― ただ、サイバー攻撃のリスクは理解しながらも、大きな予算を投じることに二の足を踏んでいる企業は少なくありません。組織やビジネスを守り、持続的成長を実現するために、経営者はどんなマインドセットを持つべきでしょうか。

伊東　セキュリティ対策はコストではなく、「投資」だと考えることが不可欠です。と言ってもなかなか伝わらないので、私はいつも次のように説明しています。

例えば、商品を増産するために新工場を建設するとしましょう。そのための費用は、コストではなく「投資」だと、ほとんどの経営者が言うでしょう。では、その工場の塀、あるいは屋根を作るための費用はどうでしょうか。それではさらに、サイバー攻撃の侵入を防ぐ仕組みの導入・構築費用はどうでしょうか。

もし塀や屋根がなければ、泥棒が入ってきたり雨が降ったりしたら操業できません。それと同じで、セキュリティ対策がなければ、サイバー攻撃によって工場は操業できなくなってしまいます。つまりサイバーセキュリティは「将来の売り上げを守るための投資である。少なくともその一部である」こうしたマインドセットを経営者が持つことが、必須なのだと強調したいですね。

―― とても分かりやすいですね。最後に、あらためて企業の経営層、CEOに向けてメッセージをお願いします。

伊東　これからのサイバーセキュリティ対策においては、今日お話しした次の2点をしっかり意識してほしいと思います。

1つは、コロナ禍により働き方が大きく変わったことで、エンドポイント対策を重視しなければいけなくなっていること。境界防御だけを意識していては不十分でリスクが拡大してしまいます。もう1つは、セキュリティ対策は投資だと考え、積極的に実行することです。

「適正な投資額が分からない」という声も聞きますが、そんな時は自社と似た規模・業種の他社の対策状況を観察しましょう。攻撃者は狙いやすい所を探し、集中的に狙ってきます。つまり、他社が2mの塀で防御していたなら、自社は2ｍ10cmにすればよいのです。1.5mではダメですが、5mにする必要もありません。それが投資額の目安になります。

また、ニュースでは「個人情報の漏えい事故」がよく報じられていますが、実はサイバー攻撃の被害はそれだけではありません。個人情報関連の事故は開示義務があるため、必然的に広まるのですが、それ以外の事故も、実は見えないところでたくさん起こっています。知的財産の窃取などは、長期的には日本全体に大きなダメージを与えかねません。自社だけは安全と思い込まず、何を守るべきかの優先順位をしっかり定めて、必要な投資をしっかり行ってほしいと思います。