開口一番、「FBI(米連邦捜査局)に入りたかった」と石原氏は言った。そのために米国の大学の犯罪学部に進学し卒業したというから本物だ。
「映画の『羊たちの沈黙』や、ドラマの『クリミナル・マインド』などをよく見ていて、犯罪者の行動分析などを通じて事件解決に導くプロフェッショナルの仕事に憧れていました。アカデミックなアプローチも好きだったため、犯罪学の研究者になろうと思い留学しました」(石原氏)
大学卒業後は、台湾のハードウエアメーカーや国内のSIerでセールスやマーケティングを経験し、2019年にトレンドマイクロに入社した。世界各地のリサーチャーと連携したマーケティング業務に従事、2020年からはセキュリティエバンジェリストとしても活動し、セキュリティ問題の啓発や提言など社外活動も担当している。英語が堪能なことに加えて、犯罪学の知見も期待されての登用だという。
「私は犯罪学の中でも特に被害者学を中心に研究していました。事件が起きた時には、犯罪者、被害者、目撃者、警察など、さまざまな当事者がいます。その中でも最も情報を持っているのが被害者です。また最もケアされるべき存在にもかかわらず、犯罪捜査中も解決後も、被害者は不利な扱いを受けがちです。被害者をケアしながら情報を収集し、犯罪者の特定や再発防止につなげるプロセスを構築することが大切なのです」(石原氏)
人間に寄り添う、ヒューマンドリブンかつ社会科学的なアプローチといえよう。実際に、被害に遭った企業から学べることが多いことから、石原氏はユーザー視点での発信も積極的に行っている。その一つ「せいうちセキュリティ」と名づけられた個人ブログは、国内外で発表された研究論文の考察の他、コラムなどを通じてセキュリティやサイバー犯罪の最新の動向などを定期的に紹介している。
同ブログを読んで驚くのは、このような膨大な情報を、いつインプットしているのかという点だ。それに対して石原氏は「昔はアウトプットが大事だと思っていましたが、最近はインプットがないと戦えないと感じています。朝の5時には起きて、早朝のうちに、その日にやらなければならない仕事の8割は終わらせる。残りの2割を午前中に終え、午後からはメンバーと意見交換したり、インプットのための時間に充てています。情報は、国内外のサイトを巡回したり、人事などセキュリティ以外の書籍から得ることも多いです」とさらりと答える。
サイバー攻撃は年々巧妙化し、セキュリティ対策も容易ではなくなっている。今後、セキュリティリスクを取り巻く環境はどのようになっていくのだろうか。石原氏は次のように語る。
「当社のリサーチチームが2021年、サイバーセキュリティ領域における未来シナリオ『Project 2030』を作成しました。これは、2030年にどのようなサイバー犯罪が起こり得るかを予想したものですが、キーワードの一つが、『サイバーフィジカルシステム(CPS:Cyber-Physical System)』、すなわち、リアルとサイバーとの融合です。セキュリティリスクについても、サイバーリスクとセキュリティリスクの差が小さくなるでしょう。例えば、自動車業界においては、自動運転のタクシーなどはまさにサイバーがフィジカルに向かうシステムです」(石原氏)
未来シナリオ『Project 2030』が発表されたのは2021年だが、すでにその時点で社会のサイバーフィジカルシステムへの変化を予見していたのは意義深い。石原氏は今後さらにその変化が加速すると見る。
「デジタルで物理空間を再現するにも、数年前まではパソコンやスマホがインターネットへのアクセスするデバイスの中心でしたが、IoTの普及に伴い、さまざまな物理空間が再現できるようになりました。さらに5G/6Gといった高速かつ大容量の通信技術やIPv6(Internet Protocol Version 6)やなどのテクノロジーが普及するにより、現実空間を仮想空間に再現するデジタルツインなども実装されてきています。社会のサイバーフィジカルシステムへの変化はもはや不可逆的なものになっています」(石原氏)
サイバーリスクとフィジカルリスクの差が小さくなることは、ある意味、セキュリティリスクの民主化が進んでいると表現することができるだろう。石原氏も次のように指摘する。
「今は、生きる上で大切なものが次々とデジタル化されています。ECサイトの利用情報しかり、国の重要インフラや軍事情報しかり。これらのデジタル資産を守れなかった時の影響度は非常に大きなものになっています。いざ何か起きた時の振れ幅が大きいのです。これまでのセキュリティ対策は『狭く深く』という印象がありましたが、今後は『広く深く』対応しなければならいでしょう」(石原氏)
デジタル技術の発展に伴い、「守るべきもの」も変化すると石原氏は指摘する。
「AR(拡張現実)やVR(仮想現実)などの進化に伴い、さまざまな没入感を得られるようになりました。人間の五感のうち、これまでは視覚と聴覚しかデジタルで再現することができませんでしたが、これからは触覚、嗅覚、さらには味覚も再現できるようになるでしょう。遠くの国や地域にいる人が食べているカレーの香りや味を日本にいながら体感するといったことが現実になります。つまりデジタル技術が人間の『認知』に影響を及ぼす時代になるのです」(石原氏)
正確には、デジタル技術を介した情報流通が人間の認知を形づくると石原氏は語る。そこでも問題になるのが、その情報の守り方だ。「データや情報を守るというところを超越した領域に入ると思います。『情報』を守る時代から『価値観』を守る時代に変わるのです」と石原氏。その意味するところはどのような点なのだろうか。
「人間は誰しも『自分の信じたい情報を取りにいく』という確証バイアスを持っています。SNSでもブラウザでも、自分の好きな、信じたい情報ばかりがリコメンドで表示されますから、他人と比較することができません。つまり、その人の好みがどんどん強化される、つまりその人の価値観が強化されることになります。人間の五感を全方位でカバーするような没入感の高いAR/VRが出てくることにより、価値観の強化に拍車がかかるでしょう」(石原氏)
特にSNSなどではその分断が起きやすいという。選挙期間中における民主主義と非民主主義の対立などが、インターネット上での情報戦に発展しやすいのはそのためだ。そうした過程では、偽情報を提供することで好みを変えたり、嫌悪感を抱かせたりする作戦を行う者も出てくる。まさに、人間の認知や価値観を守るために何をすべきかが問われるようになっている。
国内外でランサムウエアを使った大規模なサイバー攻撃が相次いで起きている。中には事業が滞ったり、サービスが停止したりするなど深刻な被害に陥った企業もある。どのように対応すべきか。
「サイバー犯罪は大きく『Cyber-Enabled Crime』と、『Cyber-Dependent Crime』に分けることができます。『Cyber-Enabled Crime』とは既存の犯罪行為がデジタル手法で行われるものです。従来、電話や手紙で行われていた詐欺行為が、メールやSNSを使って行われるようになるものです。一方で、『Cyber-Dependent Crime』は、技術に依存しているもので、インターネットがなければ生まれなかった犯罪です。ランサムウエアは『Cyber-Dependent Crime』の典型です」(石原氏)
ランサムウエアを使った身代金要求事件が増えている背景として、実際に人間を人質に取るよりも、データを人質に取った方が効率的だからだと石原氏は話す。実際に、標的が個人から法人になったことで1件当たりの被害規模は大きくなっているという。「ただし」と石原氏は加える。
「ランサムウエアの攻撃を受けてビジネスがストップしたといったニュースはメディアで取り上げられるため目につきやすいのですが、実はレアケースであることがほとんどです。実際の被害額でいえば、メールやSNSで『料金を下記口座に支払ってほしい』といった詐欺の総額の方が大きいのです。というのも、これらの詐欺は1件当たりの被害額は大きくなくても、指数関数のロングテールのグラフのように、信じて振り込んでしまう人がなくならないからです」(石原氏)
つまりインパクトのある特異な事件のニュースに右往左往せず、自社にとって必要な対策を施すことが重要になる。ではこれらを理解した上で、どのようなセキュリティ対策を施すべきなのだろうか。「被害者よりも犯罪者に目を向けると事実を見失いがちです」と石原氏は話す。
「OECD(経済協力開発機構)が1992年に制定した『情報システムのセキュリティに関するガイドライン』では、情報の『CIA』、すなわち『機密性』(Confidentiality)、『完全性』(Integrity)、『可用性』(Availability) の3要素が重要であるとしています。これを犯罪者の視点でひっくり返してみると、機密性がないは、『誰でもアクセスでき、情報を盗むことができる』。完全性がないは、『情報が改ざんできる』。可用性がないは、『必要な人が必要な時に情報にアクセスできない』ことです。大切なのは企業(被害者)の視点で、犯罪者を理解し必要な対策を行うことです。そのためには、個別の被害事例などの調査・分析による理解と、統計データから客観的な傾向を捉えることも大切です」(石原氏)
被害者の視点から見れば、「なぜ当社が狙われたのでしょう」となるが、それに対する石原氏の答えはこうだ。
「サイバー犯罪者は御社を狙ったわけではありません。対策が弱いところ甘いところから順に入り込んでいるだけです。鍵をかけるのを忘れて外出したら泥棒に入られたようなものです。サイバー犯罪者の論理では、何も対策をしていないということは何をしてもいいということなのです」(石原氏)
「攻めのデータ/IT活用」というキーワードもよく聞く。ただ、「攻め」とセキュリティは相反するようにも思える。どのように取り組むべきか。これに対して石原氏は、「『攻めのデータ/IT活用』とは、事業の拡大のためにリスクをテイクするということに他なりません。つまり、セキュリティ対策のためにはリスクマネジメントが重要になるのです」と説明する。
企業の経営者から「うちのセキュリティは大丈夫か?」と聞かれて、困惑しているセキュリティ責任者や担当者もいると聞く。
「リスクマネジメントについて絶対的な答えはありません。そこで、リスクについて分解して考えるといいでしょう。『リスク=脅威×脆弱性×資産価値』であり、『リスク=影響度×発生頻度』です。攻撃を受けても事業に影響が少ないわずか1台のIoT機器に対して、万全の対策を施す必要はないという意思決定も必要です。マネジメントとは答えがない問題に対して発動するプロセスです。すなわち一つの正解ではなく最適解を選ぶことが大切です。その点からはセキュリティ責任者や担当者だけの問題ではなく、経営者が率先して取り組むべきテーマといえます」(石原氏)
石原氏が所属するトレンドマイクロへのセキュリティ対策に関する引き合いについても、かつては被害を受けた企業からのものが多かったが、最近では事前に相談されるケースが増えている。
「例えば、当社の統合サイバーセキュリティプラットフォーム『Trend Vision One』は、インシデント発生時の対応にとどまらず、平時から環境全体の定量的なリスクの把握、評価、軽減を行うことでインシデントの発生予防を支援します。いわばセキュリティ対策の盲点をなくすソリューションです。当社ではこの他、企画、設計段階からセキュリティを組み込む施策を提案し導入の支援も行っています。」(石原氏)
(取材・TEXT:JBPRESS+稲垣/下原 PHOTO:テラケイコ 企画・編集:野島光太郎)
メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。
ChatGPTとAPI連携したぼくたちが
機械的に答えます!
何か面白いことを言うかもしれないので、なんでもお気軽に質問してみてください。
ただし、何を聞いてもらってもいいですけど、責任は取れませんので、自己責任でお願いします。
無料ですよー
30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!