なわとしお・1971年、北海道生まれ。高校卒業後、航空自衛隊において、信務暗号・通信業務、在日米空軍との連絡調整業務、防空指揮システムなどのセキュリティ担当(プログラム幹部)業務に従事。 2005年に退官し、国内ベンチャー企業のセキュリティ担当兼教育本部マネージャーなどを経てサイバーディフェンス研究所に参加。 専門分野であるインシデントハンドリング(サイバー攻撃の発見から対処・報告までの一連の流れ)の経験と実績を生かして、CSIRT(Computer Security Incident Response Team/情報漏えいなどセキュリティインシデントに対応する組織の総称)構築、およびサイバー演習(机上演習、機能演習など)の国内第一人者として、支援サービスを提供している。宇宙政策委員会 宇宙安全保障部会の委員、PwCサイバーサービス合同会社の最高技術顧問、Arbor Networksのテクニカルオフィサーなども兼任。
高校卒業後、自衛隊に入隊。厳しい環境での業務に、何度も「逃げ出したい」と思った
国立研究開発法人情報通信研究機構(NICT)の調査によると、2015年度に国内外から日本のネットワークに向けられたサイバー攻撃関連の通信は約545億1000万件。14年度の2倍以上です。15年6月に公表された日本年金機構の情報漏えいや16年1月に起きた厚生労働省ホームページの閲覧障害などマスコミで大きく報道される事件も増えています。私のところにも、サイバー攻撃を受けた公共団体や企業から昼夜を問わず攻撃対処の相談が入ります。実際に発生したサイバー攻撃に対処するためには、攻撃されたサーバーのデータを解析して被害の実情を把握し、推定される攻撃者が他所で仕掛けた同種攻撃を参考にしながら調査を行います。そして、依頼者が発見できていなかった攻撃痕跡を特定して、さらなる攻撃の発生抑制と完全防御を目指しつつ、依頼者の組織を守ります。攻撃者を推定するにはサイバー空間の動向を四六時中監視する必要がありますが、私も最低限の睡眠時間は取らなければいけません。やむを得ないことですが、その間にサイバー攻撃のリスクが広がってしまうのではと自責の念にかられます。
現在は1日のほとんどの時間をサイバー空間に身を置いて仕事をしていますが、もともとITやコンピュータに興味があったわけではありません。今でもできることならサイバー空間からはなるべく離れ、心穏やかに暮らしたいというのが本音です(笑)。
北海道北見市で生まれ育ち、高校は進学校でしたが、経済的な事情で海上自衛隊に入隊しました。最初の役職(自衛隊内の資格)は護衛艦の電測員。航海や作戦行動に必要な情報をレーダーや音響信号などから集めて取捨選択し、指揮官の意思決定を補佐する仕事で、適性検査の結果に基づいて配置されました。
護衛艦内の狭い空間で情報を監視する毎日を1年ほど続けた後、航空自衛隊に移り、特殊技能の習得教育・訓練をこなして、某所での任務を無事に終えた後、北海道網走市の山の上にある分屯基地に異動しました。艦内でのプライベートのほとんどない生活を思い出させる、周囲に鹿や熊しかいない環境でシステム端末に向かう日々。何度も逃げ出したいと思いましたが、民間で役に立つような経験も技術もない私が自衛隊を辞めてもほかに行くところはありません。より広い世界で活躍するには、自分の存在を上層部に気づかせて引き上げてもらうしかないと考えました。そこで、目の前の仕事にコツコツ取り組む一方で、銃剣道やかけ足訓練(マラソンや駅伝に相当)、英語弁論など自衛隊内で開催されるさまざまな競技大会にも積極的に参加。上位を目指して頑張り、本州の基地に転属するチャンスにつながったのが英語弁論でした。
ちょうどそのころ青森県の三沢基地で英語による連絡調整力のある人材が求められていたため、英語弁論競技で上位入賞した私に白羽の矢が立ったのです。当時、湾岸戦争(1991年〜)を契機とした自衛隊海外派遣やミサイル防衛などそれまでにない任務が次々と生まれた激動の時期。新たなシステムを構築・運用するためにはITの力が必要でしたが、上層部はITを使ったことのない世代ですから、現場に丸投げのような形で「よろしく」となるんですね(笑)。ところが、そういう役割分担や責任が明確でない「雑用」と思われた仕事というのは、人事考課につながりにくいから積極的に手を挙げる者は少数派。好き・嫌い、やりたい・やりたくないに関係なく、与えられた任務の達成のための努力を重ねていくうちに、周囲から「ITに強い」と言われるようになり、埼玉県入間基地のプログラム管理隊(防空関連のシステムに関するソフトウェア専任部隊。2014年から作戦システム運用隊に統合)の幹部に。軍事面への民生品の導入を進める任務を行ったのがサイバー問題に携わるきっかけになりました。
昔の航空自衛隊では防空関連のシステムを独自に維持管理していましたが、2000年ごろからコスト削減のために民間の開発したシステムを取り入れるようになりました。民生品の導入にあたっては、セキュリティの管理が非常に重要となります。航空自衛隊が導入したシステムにマルウェア(悪意のある不正ソフトウェア)が侵入すれば、任務達成に支障が出る可能性があります。そこで、攻撃が来る前に攻撃者の技術レベルを調べ、セキュリティ対策を講じるのが私の大きな任務でした。
当時は日本への重大なサイバー攻撃は起きていませんでしたが、三沢基地時代には在日米軍との連絡調整業務を担当する中で、米軍関連施設へのサイバー攻撃を目の当たりにしました。「対岸の火事ではない」と危機感を抱き、自衛隊内での対策強化を呼びかけたものの伝わらず、限界を感じて民間へ。国内ベンチャー企業のセキュリティ担当やサイバーセキュリティ関連の老舗・JPCERTコーディネーションセンターを経て、情報分析やデータ解析の技術を磨き、2009年からサイバーセキュリティ技術者集団・サイバーディフェンス研究所に所属しています。
思い返せば、現在の仕事に必要な経験やスキルの多くは自衛隊時代に培ったものですが、当時は自分が民間でサイバーセキュリティに携わることになるとは想像もしていませんでした。その場で与えられた役割や責任を果たしてきただけですし、誰にも注目されないような仕事を担当することが多く、「自分は雑用ばかりやっている」とネガティブな気持ちになったこともあります。でも、今では「究極の雑用係」であることが私の誇りになっています。
変化の激しい時代に世の中のニーズに応えようとすると、既存の業務におさまりきらず、最初は評価されづらい「雑用」のような仕事が必ず生まれます。ところが、その「雑用」をずっとやっていると、「新規事業」とほぼ同義になるんですよ。仕事の内容が何であれ、30代くらいまでは与えられた仕事を全力でやってみると、そこから得たものが次世代の中核となる技術や知見になります。仕事というのは無駄に感じることが8割だと思うんです。でも、「雑用にすぎない」「無駄だな」と感じることもきちんと全うすれば筋力が鍛えられ、後で役立つ時がくる。40代になって、そのことを強く実感しています。
世の中の状況は刻一刻と変わる。解答は自分たちで考えるしかない
サイバー攻撃の脅威が注目を集めているにもかかわらず、被害がやまないのはなぜでしょうか。大きな理由として、日本の公共団体や企業がサイバー攻撃のリスクを当事者としてとらえきれていないことがあると思います。サイバー攻撃集団にとって技術大国の日本は格好のターゲットです。ところが、経営層が「当社には取られるような情報はない」「うちには関係ない」と考えているケースが中小企業を中心にいまだにたくさんあります。これは大変危険な考えです。よしんばその会社に取られるような情報がなかったとしても、大企業や行政機関との取引のある企業であれば、攻撃経由の場となる可能性が十分にあります。最終的なターゲットとなる組織の情報を盗むための足がかりとして、セキュリティ対策の万全でない取引先企業が攻撃される例は少なくないのです。
サイバーセキュリティの重要性を皆さんに知っていただき、被害を最小限に食い止めたいという思いから、最近は技術者としての仕事の合間を縫って講演会やメディアへの情報発信など状況認識の共有を目的とした啓発活動を行っています。また、10を超える官公庁の役職や委員として助言や提言もしています。無報酬でお受けしている仕事も少なくありません。東奔西走している私を見て、「なぜそこまでしてこの仕事をするの?」と聞かれることがあります。答えはただひとつ。妻や子どもたちを守りたいからです。
国や企業へのサイバー攻撃が深刻化すれば、世界経済の低迷や社会秩序の崩壊などが発生し、日本がすでに破綻した国や地域のようになってしまうという恐れを強く感じています。現場の深刻な状況を常に直視している者として、必然的に子どもたちの未来を守らなければならないという決意が湧き起こります。その時に、警察や消防のように自分以外に守ってくれる存在があるなら、お願いするでしょう。でも、サイバー空間で警察や消防のような役割を持って献身的に努力しているセキュリティ人材は非常に少なく、ほかにやろうとする人が見当たらないから、自分がやるだけ。それ以上は何もない。シンプルなことですよ。
自衛隊にも「家族や大切な人たちを守る」という思いを抱いて入ったつもりでしたが、厳しい環境から逃げ出したくて、誰かに認めてもらうために仕事をしていた時期もありました。でも、妻と出会い、子どもを持って生き方が変わりました。逃げることはもう考えられませんから、ここで頑張るしかない。そのために、サイバーセキュリティの世界で一緒に頑張ってくれる仲間を増やしたい。人材の育成も私の大事な仕事だと思っています。
仲間に求めるのは、現実認識が同じであること。思いや価値観は同じでなくたっていいんです。同じものを見てどう思うかは個人の自由ですから。現実認識と目指すところが共有できれば、本来は自然と協調行動ができるはずです。でも、実際は簡単にはできないと感じています。状況を自分の目で見る前に「何をすればいいですか?」と解答だけを求める人が多いからです。
世の中の状況は刻一刻と変わり、解答は自分たちで考えるしかありません。レールは誰も作ってくれないんです。自らレールを作るには、まず、現実を直視し、同じ認識の仲間たちとディスカッションすること。ディスカッションをすれば、アイデアは必ず出てきます。だから、社会に出たら、職場だけにとじこもらず、ぜひいろいろなバックグラウンドの人たちとの交流を心がけてみてください。交流の場はインターネット上だっていい。人と出会い、視野を広げることは、どんな世界でやっていくにも重要なことだと思いますよ。
INFORMATION
名和さんが専務理事兼上級分析官を務める株式会社サイバーディフェンス研究所のホームページ(https://www.cyberdefense.jp/)。官公庁や企業に対し、診断サービスや教育プログラム、セミナーなど幅広いセキュリティ関連サービスを提供している。
取材・文/泉 彩子 撮影/刑部友康