海外エキスパートに聞く、セキュリティ人材、育つ人と育たない人の違いは？：サイバーセキュリティマネジメント海外放浪記（1/2 ページ）

サイバーセキュリティの取組を向上させる上で重要な観点は「コラボレーション」。1人で全てできるわけではなく、一つの組織で全てできるわけではない。

[鎌田敬介，ITmedia]

※本記事はアフィリエイトプログラムによる収益を得ています

　コロナへの対応として在宅勤務が続いている人も多いと思いますが、海外に行くことも簡単ではありません。先日、米国で勤務していた私の友人が家族とともに日本に帰ってきました。帰国後、ホテルで2週間待機ということになり、日用品や食料品の調達に苦慮していましたが、デリバリーサービス以外にも日本にはネットスーパーがあるよ、と教えてあげたら活用していたようです。しばらく日本にいなかったのでそんなサービスがあったとは、と驚いていました。

　また、私のSNSのタイムラインに東京の写真をアップロードすると海外の友人達からさまざまなコメントがつきます。東京駅で撮影した以下の写真をアップロードしたところ、「距離をとっているようにみえるが左右に近くて意味があるのか」とか「さすが日本」とか「これは1次元的思考と呼ぶのだ」というコメントがつきました。

東京駅

　外出禁止を強いられている国や地域の友人からは外に出られてうらやましいというコメントが届いたりしますし、「今日の東京駅」みたいな写真を上げると「昔そこで迷子になったなあ」というコメントがついたりと、さまざまな反応が得られます。皆家にいるので仕事をしながらSNSを見る時間が増えたのか、コメントの反応速度も以前より速くなったように感じます。

　さて、この連載は、本来であれば筆者である私が海外出張で得られた知見を紹介することが目的ですが、最近は海外に行くことができておりません。過去の話をするのもいのですが、やはり現在の話にしたほうが、情報としての新鮮味や価値があるので、今回から、海外の友人たちにインタビューする形でサイバーセキュリティのエキスパートがどのように育ってきたのか、サイバーセキュリティはなぜ難しい課題なのか、企業がサイバーセキュリティと向き合う上でどういったことが重要なのかについて多様な考え方を紹介します。

　第1回ということで、私の盟友とも呼べるアドリ・ワヒッド（Adli Wahid）の話を紹介します。彼と初めて会ったのは2007年のカンボジア。私が初めて海外でセキュリティトレーニングをトレーナーとして実施したときのことでした。その時からフレンドリーで気さくなやつです。それ以来、世界各国のさまざまなカンファレンスやイベントなどで一緒になり、共にトレーニングを実施したり、同じ会社で働いてみたり、一緒に写真を撮りに行ったり、といった間柄です。彼は現在APNIC（Asia-Pacific Network Information Centre）という組織で働いていますが、主な仕事はアジア太平洋地域におけるセキュリティ向上のためのトレーニング活動です。

オンライン会議でインタビューに応じてくれたアドリ。ちなみに、彼はこの連載でも何度か登場したことがあります。

　では内容に入ります。（元のやりとりは英語で行われていますが日本語に意訳しています）

筆者　アドリ、今日はありがとう。堅苦しいことは抜きにして、まずは簡単に、自分をどのように紹介してほしいかという観点で、自己紹介をお願いします。

アドリ　私はサイバーセキュリティに実務的に関わって20年くらいになります。特に、アジア太平洋地域や国際的な活動を中心に行ってきました。これまでの20年間で、サイバーセキュリティの認識やセキュリティ対策がどのように変わってきたのかを見てきました。それも特定の国や地域ではなく、さまざまな人、国、地域にまたがって関与してきたことが自分の特徴だと思います。また、自分はギークであり技術的な事が好きです。何かを組み立てたり構築したりといったことも好きです。

筆者　サイバーセキュリティをどのように学んできたか教えてください

アドリ　自分はもともと、モノがどのように動いているのか、という仕組みを知ることに興味があっていろいろなことを学んでいました。よく誤解されるのですが、ITやコンピュータサイエンスなどの学位を持っていません。

　けれども、アメリカに住んでいた頃、確か10歳位だと思いますが、BASICを使ったプログラミングを経験しました。そこからコンピュータがどのように動いているのかということに興味を持ち始めたのです。

　高校生の時に、コンピュータの専門家が集まるオンラインコミュニティーに参加し、UNIXの使い方やサーバ構築、Webアプリケーションの構築などを覚えました。あのときに何を学べば良いのか、道筋を教えてくれた専門家たちにとても感謝しています。彼らのほとんどはオンラインのみのやりとりで、会ったこともありませんが、とても影響を受けました

　そして、私がサイバーセキュリティを仕事として始めたのも、興味があったからですが、セキュリティは重要だと考えるようになったことがベースにあります。そのきっかけは、大学生の時にハッキングカンファレンスに参加し、Webサイトが改ざんされる様子を見て、セキュリティはなぜ難しいのかということに興味を持つようになりました。

　そして、技術的にはセキュアにサーバを構築すること自体はそんなに難しくはないということは理解しました。その後、大学のIT部門で働き始め、さまざまなITやセキュリティのトレーニングコースを提供しましたが、今ほど需要はありませんでした。その頃は常に自分でサイバーセキュリティの勉強していました。

ネットワークセキュリティのトレーニング講師中のアドリ

筆者　仕事としてサイバーセキュリティに関わるようになって、それまで自分で学んでいたことと比べて、認識はどのように変わりましたか

アドリ　大学で勤務した後、マレーシアのサイバーセキュリティ機関であるCyberSecurity Malaysiaに勤務しました。ここで初めて、サイバーセキュリティのリアルな世界に触れるようになったのです。そして、サイバーセキュリティは単にネットワークやサーバをセキュアに設定することだけではなく、犯罪者とどのように向き合うかや、政府機関と関わることなども重要です。そうして、人々にサイバーセキュリティを理解してもらうためにはどうしたらよいのかということを考えるようになりました。

筆者　サイバーセキュリティの取り組みを向上させるには何が重要でしょうか

アドリ　サイバーセキュリティで最も重要なのはいかに信頼関係を構築するかです。相手を信頼していなければ本当のことは話せません。サイバーセキュリティに関わると機密情報に触れることもあるわけですが、組織がそれに取り組むためには、その担い手としてのサイバーセキュリティ担当を信頼することが重要でしょう。

　サイバーセキュリティは最終的には「人対人」の問題だと考えています。人は常に新しいものを使いたくなります。例えばIoTやAI、RPAといった概念が出てきたときにはそれらを使いたくなる、そうすると必ずそれらのセキュリティのことも考えなければなりません。ですのでセキュリティは常に重要なのです。

　また、これまでの経験からサイバーセキュリティの取組を向上させる上で最も重要な観点は「コラボレーション」です。サイバーセキュリティは1人で全てできるわけではなく、一つの組織で全てできるわけではありません。

　社内で、企業間で、国内で、地域内で、組織を越えて連携することが重要です。サイバーセキュリティの担当者からよく「自社の経営層にセキュリティの重要性について理解してもらえず、自分はあまりセキュリティの仕事ができない。社内に理解者もいないし社外に連携する相手もいない」といった相談をされます。