Geoeconomics Strategy(GES)/安全保障を起点とするサイバーストラテジー Strategic Impactイニシアティブインタビュー 01

安全保障を起点とするサイバーストラテジーを軸に日本のあるべき姿を思考し、実行していく

ディレクター西尾 素己

マネージャー森本 博也

安全保障起点でのルール形成活動とそれに基づく産業力強化をミッションに掲げるGeoeconomics Strategy (GES) チーム。「経済安全保障サイバー」のイニシアティブを実施している西尾ディレクターと森本マネージャーが、サイバールールへの適応とカウンター構想について語ります。

経済安全保障政策を起点とするサイバールールへの適応とカウンター構想とは

本活動とはどのようなイニシアティブですか?

西尾

我々のチームでは安全保障の観点から日常的に各国の法律や規制の動向を把握・分析して、日本に影響を及ぼす、想定し得るシナリオを検討しています。そして対応策を検討し、政府・省庁・企業に助言したり、業界に対して情報発信したりしています。

これらを実施するために我々のチームには、コンサルタントだけでなく、各国情勢や法規制の動向を把握するためのインテリジェンスチームが存在します。

特に後者には研究者や大学教授なども配置しており、独自に築き上げた人的ネットワークに基づくインテリジェンスを収集し、日常的に各国のキーパーソンと会話しています。それによって他のファームでは成し得ないレベルの情報収集と、それに基づく確度の高いシナリオを提供することができます。

森本

我々が考えるサイバーの対応策はいろいろあり、シンプルに適応戦略を検討する場合もあれば、対抗するためのカウンターを検討する場合もあります。どちらの方が日本の産業のためになるかという視点で考えているため、単なるコンプライアンスの話にとどまらないのが面白いところです。

決して新たな規制の出現に応じてソリューションを売りにいくのではなく、常に日本のあるべき姿を思考し、必要な変化を政府や産業に対して訴えかけていく活動であるということです。

サイバールールを形成することで我が国産業の成長につなげる

本活動と一般のサイバーセキュリティコンサルティングには、どのような違いがあるのでしょうか。

西尾

「サイバーセキュリティは“いたちごっこ“で破られても仕方ない」という時代は既に終焉を迎え、現在は「リーズナブルなサイバーセキュリティ対策を実施しているか」が法廷で争われる時代となりました。各国はサイバーセキュリティ研究に基づいて政府機関や民間企業が実施すべき対策レベルを定義し、規制化することで、民間企業にも必要な対策を求めています。

特に米国政府がNIST(National Institute of Standards and Technology)というスタンダードの研究機関を活用し、全世界のデファクトスタンダードとなるサイバーセキュリティ基準を次々と策定しています。
このような状況から、各企業はもはや善管注意義務としてサイバーセキュリティに取り組まねばならない状況となりました。グローバルで活動する日本企業を含め、です。

ポイントは、各国がサイバーセキュリティを「エコノミック・ステイトクラフト」と呼ばれる経済安全保障政策のツールとして認識し、活用しているという事実です。

森本

例えば米国は防衛関連企業向けの調達規則に、先ほど申し上げたNISTのサイバーセキュリティ基準を活用し、サプライチェーンセキュリティを向上させるだけでなく、それに追随できない他国企業を排除できるツールとして活用しています。GDPR(General Data Protection Regulation)もその一つです。
GDPRはプライバシーを切り口に、欧州企業が域内で活動する幅を広げるためのツールとして制定されています。

大局的観点からのシナリオ予測と対応戦略を提供することで、我が国産業が不利とならず、むしろそのような状況変化をてこに成長に向かわせることができると考えています。閉塞感のあるマーケットの中で純粋に製品価値を高めることが、モノが売れなくなった状況を突破するカギとなります。

経営戦略としてルール形成戦略を持つ日本企業を増やすことで、我が国産業が潤う環境をつくりあげる

西尾

企業はよくサイバーセキュリティを「コスト」だというのですが、これを「投資」であると捉えていただきたい。確かに新たなサイバーセキュリティの規制に対応するコストは発生します。しかししっかりと投資することで、新たに参入可能なマーケットが生まれます。規制のハードルが高いほど競業他社が少なくなりますし、企業が自社の強みを反映させれば、まさに自社に有利な環境ができあがるでしょう。

これまで事業環境は、一企業が変えられるものとはみなされていませんでした。しかし我々は事業環境を変えるためのご支援を企業に行い、ゆくゆくは日本企業がそれぞれ自社に必要なルールは何かを考え、社会実装に向けた活動を行うことができるようにしたいと考えています。

具体的にはどのようなサービスを提供しているのでしょうか。

森本

少し前までは、日本の防衛産業が順守するサイバーセキュリティ基準を米国のものと同等にする、という活動を支援していました。

米国は毎年のようにサイバーセキュリティ基準を発行・更新し、さらにそれを調達規制などの政策に組み込んでいます。よって日米同盟下において、日米間での防衛装備品開発やインテリジェンス共有などの情報連携が必要な状況にある日本でも、常に制度を更新し、それらを守ることができる状態にないと困るわけです。
実際に日本からは情報を提供するものの、米国からはセキュリティを理由に断られるという状況になっていた事例もありました。そこで我々のチームで規則改訂を提言し、実際に改訂作業を行いました。

西尾

その他、企業に対するご支援で一番多いのが、NIST対応プロジェクトです。米国NISTが策定した基準に対し、自社システムをこれらに準拠させたり、外販しているクラウドサービスやプロダクトをセキュアにしたりするためのご支援を行っています。

前者の自社システムについては、国防総省が調達要件にてサプライヤに対して基準に準拠せよと要求していることへの対応が多いですが、単純に自社セキュリティを強化して顧客情報や技術情報を保護しようとしているクライアントもいらっしゃいます。善管注意義務への対応という新たな視点で、後者のクラウドサービスやプロダクトのセキュリティについては、完全に投資ですね。

現在のグローバルマーケットでは、自社が使用するネットワーク製品やカメラ、プリンタなどはセキュリティの担保されたものにしたいと要望する企業が多くなってきました。そのような企業に対して付加価値としてセキュリティを追求して販売したいという意図があります。どちらも我々のチームで、アセスメントからセキュリティ機能実装までトータルサービスを提供しています。

求めるのは、多様な価値観を理解して正確な状況理解が可能な人材。そして、事象を統合的に、かつリアリティをもって思考することができる人材。

どのような人材がGESチームに活躍できるのでしょうか。

西尾

マルチでニュートラルな視点をもつ人材ですね。この仕事では米国ではこう考える、欧州ではこう考える、といったように自分と全く違う観点や価値観をもった個人や組織の考え方をトレースして、物事を考えられる能力が必要です。
当然、コンサルタントとしてクライアントの立場に立って考えられるという点も重要です。しかしどのようなバックグラウンドの方であっても文化や価値観の異なるひとの視点を持って考えることは結構難しいのですが、“ジオエコノミクス”のチームですから基礎的要件と言えるでしょう。

森本

特に海外は歴史的コンテクストから日本とは異なることが多いので、まずは自分の価値観をリセットし、ニュートラルな立ち位置に自分を置くことが大切ですね。自分の持っている価値観を捨て、その次に、例えば自分が米国防総省の次官だったらとか、ホワイトハウスのアドバイザだったらとか考えてみます。そうすると自ずとシナリオが見えてきます。
よく西尾とはシナリオについてディスカッションを戦わせていますよ。多視点で見ることでシナリオの精度は上がります。

西尾

スキルセットについては、やはりプログラムを実際に設計して自分で書いた経験のある人は馴染みやすいと思います。私はセキュリティ研究者でしたので経験がありますし、森本も研究で機械学習のプログラムを書きました。

まとめると、マルチでニュートラルな視点から物事を捉え、それらを統合してリアルに状況理解ができる人ということですね。COVID-19以前は海外出張も国内出張も多かったので、旅好きの方にもお勧めです。