Bölümler
-
2026年度中、中小企業のビジネスや取引要件を大きく変える可能性を秘めた新制度「サプライチェーンセキュリティ評価制度(SCS評価制度)」が本格始動します。これまでの形式的なチェックシートから、第三者評価を交えた「星(レベル)による可視化」へと移行する中、企業はどのように対応すべきなのでしょうか。
後半では、引き続き株式会社セキュアオンラインの角田優剛CEOと宮腰行生CTOをお迎えし、間近に迫る新制度の概要と、それが営業や受注活動に与えるリアルな影響について深掘りします。
さらに、社内で孤立しがちな「一人情シス」やセキュリティ担当者が、技術的・精神的な防御力を高めるために必要不可欠な「コミュニティと情報共有の価値」について、同社が仕掛けるユニークな啓蒙活動や交流会の実態とともにお届けします。<お知らせ>
セキュアオンラインでは、7月16日(木)にセキュリティ専門家交流会の開催を予定しています。専門家による講演に加え、参加者同士の交流会も実施します。ご参加を希望される方は、ぜひホームページをチェックしてください!
2026年後半の重要テーマ: 取引要件や営業活動を左右する「サプライチェーンセキュリティ評価制度(SCS評価制度)」の概要自己評価から第三者評価へ: 「星」による可視化がもたらす、バラバラだったヒアリングシートの統一化と簡素化経営層への説得材料: 孤独な情シスが予算と人員を確保するための「共通基準」としての活用法精神的防御力を高める: 「自分の判断は正しいのか?」孤立しがちな担当者を救う横のつながりと秘密保持の安心感「サイバー課長」の啓蒙活動: 専門家が代わりに作る社内回覧用メディアが、社員のセキュリティ意識を変える
■□ ハイライト □■<ゲスト・プロフィール>
角田 優剛(つのだ・ゆうご)さん
株式会社セキュアオンラインCEO。2011年1月にWEBマーケティング会社、株式会社シーズ・クリエイトを設立。さまざまな業種・企業のWEBサイト構築、マーケティングに従事。2014年に「サイバーセキュリティ.com」を開設。月間100万PVを超える国内最大級のサイバーセキュリティ専門メディアに成長している。2020年4月に株式会社セキュアオンラインを立ち上げ、日本国内の企業におけるセキュリティ意識の啓発、セキュリティ人材育成などを提供。企業の資産となる「情報を守ること」のサポート事業を展開している。
宮腰行生(みやごし・ゆきお)さん
株式会社セキュアオンライン CTO / 株式会社アクシス 代表取締役。国家資格「情報処理安全確保支援士(登録セキスぺ)」を保有し、数多くのインシデント現場やランサムウェア被害の最前線に立ち向かってきた実務家。技術と経営の両面から企業の守りを固めるコンサルティングを得意とする。
■□ 収録後記 □■
宮腰さんの「技術的な防御力だけでなく、精神的な防御力も高めるコミュニティが必要」という言葉に、深く頷かされました。自社だけで抱え込み、時に自分の責任だと押しつぶされそうになる現場の担当者にとって、同じ目線で「うちはこう判断した」と言い合える仲間の存在は、何よりの救いになるはずです。
角田さんが紹介してくださった、ペラ1枚の「サイバー通信」を社内回覧するアイデアも秀逸でした。情シスが社内でいくら叫んでも響かない警告が、外部メディアという「第三者の声」になるだけで、すんなり受け入れられる。新制度への対応もコミュニティの活用も、まずはアレルギーを捨てて「専門家に一歩相談してみる」ことから、新しい守りの形が始まるのだと感じる配信でした。
(JCGR編集部) -
「セキュリティ人材が足りない」「何から対策を始めればいいのかわからない」――。これは、現代の多くの中小企業や情報システム部門(情シス)が直面している切実な叫びです。マクロなデータで「人材不足」が叫ばれ始めてから10年以上が経過した今もなお、現場と経営のギャップは埋まっていません。
「のび太がドラえもんを呼ぶよう」な情シス現場の忙しさと人材不足の解像度学習時間が取れない!最新知識のアップデートを阻む「環境の壁」有資格者のみが登録。必要な時に必要な分だけ頼れる「オンデマンド専門家」の仕組み「まさかうちの会社が…」ニュースにならない中小企業が狙われるサプライチェーンの盲点
今回のゲストは、サイバーセキュリティのWebメディア運営や人材マッチング事業を展開する株式会社セキュアオンラインの代表取締役・角田優剛さんと、同社CTOであり情報処理安全確保支援士(通称、登録セキスペ)として現場のコンサルティングを数多く手がける宮腰行生さん。
前編では、PCのキッティングやプリンターの修理に追われながらセキュリティ対策まで手が回らない「一人情シス」のリアルな課題や、巧妙化するサプライチェーン攻撃の実態、そして限られた予算の中で中小企業が賢く専門家を頼るための新基盤「セキュリティエージェント」の価値について深掘りします。
■□ ハイライト □■全方位投資は不要!高額なツールに頼る前にやるべき「リスクアセスメント」と現有資産の設定見直し
<ゲスト・プロフィール>
角田 優剛(つのだ・ゆうご)さん
株式会社セキュアオンラインCEO。2011年1月にWEBマーケティング会社、株式会社シーズ・クリエイトを設立。さまざまな業種・企業のWEBサイト構築、マーケティングに従事。2014年に「サイバーセキュリティ.com」を開設。月間100万PVを超える国内最大級のサイバーセキュリティ専門メディアに成長している。2020年4月に株式会社セキュアオンラインを立ち上げ、日本国内の企業におけるセキュリティ意識の啓発、セキュリティ人材育成などを提供。企業の資産となる「情報を守ること」のサポート事業を展開している。宮腰行生(みやごし・ゆきお)さん
株式会社セキュアオンライン CTO / 株式会社アクシス 代表取締役。国家資格「情報処理安全確保支援士(登録セスペ)」を保有し、数多くのインシデント現場やランサムウェア被害の最前線に立ち向かってきた実務家。技術と経営の両面から企業の守りを固めるコンサルティングを得意とする。
■□ 収録後記 □■
角田さんの「手を挙げればセキュリティがわかると言う人は多くても、本当に信用できるかを担保する基準が必要」という言葉や、宮腰さんが指摘する「すべての対策を自社で常時雇用して抱え込む必要はない」という現実的なアドバイスには、ハッとさせられるものがありました。
モデレーターの川端さんが「自動車を買う前にプロに相談するのと同じで、ライフスタイルに合わせたセキュリティ設計が重要」と例えたように 、慌てて高額なシステムを導入して重複投資になる前に、まずは信頼できる「相談相手」を見つけることこそが、現代の中小企業におけるITガバナンスの第一歩なのだと感じさせられる内容です。
(JCGR編集部) -
Eksik bölüm mü var?
-
前編に引き続き、経営コンサルタントとして30年以上のキャリアを持つ、CIC Japan会長・A.T.カーニー日本法人前会長の梅澤高明さんを迎え、松本恭攝ジョーシス株式会社CEOとの対談をお届けします。
前編はこちら ⇒ Apple Podcasts | Spotify
後編では、前編で浮き彫りになった「手作業によるSaaS管理の限界」に対する解決策として、ジョーシスが提供する「AIを活用した自律型SaaSマネジメント」の全貌に迫ります。AIがいかにして企業のITガバナンスを自動化し、情報システム部門を「コストセンター」から「戦略部門」へと進化させるのかを深掘りします。さらに、日本発スタートアップが世界基準で戦うための「ボーン・グローバル」戦略や、M&Aを成功に導くIT統合の要諦など、次世代の経営者やリーダーに求められる「ITアーキテクト」としての哲学を語り尽くします。
オンプレミスからSaaSまで、データを一元化する「3つのAIエンジン」の仕組み AIエージェント「オーナーファインダー」が実現する、管理者の自動特定と権限取得 情報システム部門の劇的な進化最初からエコシステムに組み込まれる「ボーン・グローバル」設計と、世界標準の戦い方 M&Aの失敗を防ぐ、異なるITインフラを即座に統合するジョーシスの強み これからの経営者に求められる「フレキシビリティとレジリエンスを備えたデータ設計」
<キーワード>
今回は梅澤さんのVoicy「イノベーションの流儀」とのコラボ企画で、松本CEOが起業家としてのストーリーを語っています 。本編とあわせてぜひお聞きください。<ゲストプロフィール>
梅澤高明さん(うめざわ・たかあき)
東京大学法学部卒、MIT経営学修士。KEARNEYのコンサルタントとして日米で30年にわたり、戦略・イノベーション・マーケティング・組織および都市開発のテーマで企業を支援。2014〜2026年、A.T.カーニー日本法人会長。2019年からCIC Japan会長、国内最大級の都心型イノベーション拠点「CIC Tokyo」の立上げを主導。内閣府「知的財産戦略本部」本部員、観光庁「地方における高付加価値なインバウンド観光地づくり検討委員会」座長。ほか、クールジャパン、税制などの政府委員会で委員を務める。一橋ICS(大学院国際企業戦略専攻)特任教授。『NEXTOKYO Project』を主宰し、東京の将来ビジョン・特区構想を産業界・政府に提言。著書に『NEXTOKYO 「ポスト2020」の東京が世界で最も輝く都市に変わるために』(共著、日経BP社)、『最強のシナリオプランニング』(東洋経済新報社)など。
松本恭攝さん(まつもと・やすかね)
2008年慶應義塾大学卒業後、A.T.カーニーに入社。2009年ラクスル株式会社を設立、代表取締役CEOに就任。ラクスルは2018年に東証マザーズ(現グロース市場)、19年に東証一部(現プライム市場)に上場。事業の多角化を推進し、15年に物流シェアリング事業「ハコベル」を、20年にTVCM事業「ノバセル」を、21年にITデバイス&SaaSの統合管理システム「ジョーシス」を立ち上げる。22年には自ら立ち上げたジョーシスの経営に専念するため事業をカーブアウト、ジョーシスCEOに就任。23年にラクスルのCEOを退任し、会長に就任。
■□ 収録後記 □■
「今日の話を経営者にそのまま聞いてもらうのが一番早い」という梅澤さんの言葉が、後半のすべてを物語っています。AIがシステムのメンテナンスから社内の権限確認までを自律的に行う時代において 、特定のツールに依存せず、柔軟なデータレイヤーの設計ができる「ITアーキテクト」の育成は、一企業を超えた国としての重要課題だと再認識させられました。情報システム担当として孤独な戦いを続ける皆様、そして決裁を行う経営陣にこそ届いてほしいエピソードです。
(JCGR編集部) -
今回のゲストは、経営コンサルタントとして30年以上のキャリアを持つ、CIC Japan会長・A.T.カーニー日本法人前会長の梅澤高明さんを迎え、松本恭攝ジョーシス株式会社CEOが企業が抱えるITガバナンスの課題とジョーシスのソリューションと世界観について語ります。
前編では、SaaS導入時の形式的な審査だけでは防げないリスクの正体や、多くの企業で「手作業の限界」により放置されている退職者・外部委託先のアカウント(オーバーアカウント)問題など、今日から見直すべき現場のリアルな課題と、それを解決するプロダクトの役割について深掘りします。ITガバナンスをめぐるビジネスリーダーだちの議論に注目です。<キーワード>
DXの裏側で進む「SaaSの指数関数的増加」と管理の形骸化「手作業の限界」が招く退職者・外部委託アカウントの放置サイバー攻撃・内部不正の温床となる「オーバーアカウント」の危うさジョーシスが実現する「入り口から出口まで」の自動化と統制「守り」から「攻め」のインフラへ。経営戦略としてのIT管理今回は梅澤さんのVoicy「イノベーションの流儀」とのコラボ企画で、松本CEOが起業家としてのストーリーを語っています。
<ゲストプロフィール>
梅澤高明さん(うめざわ・たかあき)
東京大学法学部卒、MIT経営学修士。KEARNEYのコンサルタントとして日米で30年にわたり、戦略・イノベーション・マーケティング・組織および都市開発のテーマで企業を支援。2014〜2026年、A.T.カーニー日本法人会長。2019年からCIC Japan会長、国内最大級の都心型イノベーション拠点「CIC Tokyo」の立上げを主導。内閣府「知的財産戦略本部」本部員、観光庁「地方における高付加価値なインバウンド観光地づくり検討委員会」座長。ほか、クールジャパン、税制などの政府委員会で委員を務める。一橋ICS(大学院国際企業戦略専攻)特任教授。『NEXTOKYO Project』を主宰し、東京の将来ビジョン・特区構想を産業界・政府に提言。著書に『NEXTOKYO 「ポスト2020」の東京が世界で最も輝く都市に変わるために』(共著、日経BP社)、『最強のシナリオプランニング』(東洋経済新報社)など。
松本恭攝さん(まつもと・やすかね)
2008年慶應義塾大学卒業後、A.T.カーニーに入社。2009年ラクスル株式会社を設立、代表取締役CEOに就任。ラクスルは2018年に東証マザーズ(現グロース市場)、19年に東証一部(現プライム市場)に上場。事業の多角化を推進し、15年に物流シェアリング事業「ハコベル」を、20年にTVCM事業「ノバセル」を、21年にITデバイス&SaaSの統合管理システム「ジョーシス」を立ち上げる。22年には自ら立ち上げたジョーシスの経営に専念するため事業をカーブアウト、ジョーシスCEOに就任。23年にラクスルのCEOを退任し、会長に就任。
■□ 収録後記 □■
梅澤さんの「リスクは指数関数的に増えている」という経営的な警鐘と、松本さんが語る「アカウント削除漏れ」という現場のリアリティが重なり、ITガバナンスがもはや現場だけの問題ではないことが浮き彫りになりました。特に「業務委託が終わっても中のデータが見えてしまう」というエピソードは、多くの企業が抱える「手作業による管理の限界」を象徴しています。効率化と安全性をいかにテクノロジーで両立させるか。そのヒントが詰まった対談です。
(JCGR編集部)
-
前回(前半)は、AIが単なるツールから自律的な「デジタル社員(AIエージェント)」へと進化するパラダイムシフトについて伺いました。
前半はこちら ⇒ Apple Podcasts | Spotify
後半となる今回は、AIエージェントが普及した「その先の未来」を予見します。人間が画面を操作するUI(ユーザーインターフェース)から、AIが直接ソフトウェアを操作するAPI主体の時代へ 。これに伴い、従来のユーザー単位の課金モデルから、タスクの処理量や生み出した価値に基づく「成果ベース」へとビジネスモデルが進化していく可能性について深掘りします 。
チェック・ポイント・ソフトウェア・テクノロジーズ日本法人社長の佐賀文宣さんが、AI時代の新たなインフラの姿と、人間に見えないサイバー攻撃から組織を守り抜くための経営戦略を語ります。
■□ ハイライト □■
UI(画面)からAPIへ:ソフトウェアの役割が「機能」へ進化する: 人間が画面を介さず、AIエージェントがAPIを通じてソフトウェアを直接操作する世界が到来しています。これにより、ライセンス形態も従来の「社員数単位」から、エージェントの数や処理単位(トランザクション)に応じたモデルへと変化し始めています。
「間接的プロンプトインジェクション」という新たな脅威: メールの中に人間には普通の文章に見える「AIへの命令文」を埋め込む、人間に見えない攻撃手法が登場しています。AIを騙して情報を流出させたり、不正なメールをばらまかせたりするリスクに対し、動作を検知して止める「ガードレール」の重要性が高まっています。
サイバー攻撃の「工業化」とサプライチェーンの自分事化: AIによって攻撃が自動化・大規模化(工業化)され、企業規模や知名度に関係なく無差別に弱点が狙われる時代です。ティアの深いサプライチェーンの一角が狙われるだけで全稼働が止まるリスクを、すべての経営者が自分事として捉える必要があります。
AIを「正しく可視化する力」が企業の競争力になる: どのAIがどのようなデータにアクセスし、何を判断しているのか。これを見えないまま使うことは大きなリスクを伴います。AIの挙動を可視化し、管理できる状態にしておくことこそが、これからの企業のAI戦略における核心です。
「禁止」ではなく「使いこなしながら守る」経営視点 : AIの使用を禁止しても、従業員は個人IDで「野良AI」を使い続けてしまいます 。経営者に求められるのは、AIが万能ではないことを理解した上で、いかに可視化・管理し、活用と防衛を両立させるかという視点です。<ゲスト・プロフィール>
佐賀 文宣(さが・ふみのり)さん
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 日本法人代表取締役社長
チェック・ポイント日本法人の拡大を主導し、顧客およびパートナーとの継続的な信頼の上、チェック・ポイントの戦略的方向性である「You Deserve the Best Security(お客様である企業や組織に最高のセキュリティを構築する)」の実現をミッションとする。直近では、ZVC Japan 株式会社 (Zoom Video Communications, Inc.の日本法人)にて、社長を務めビジネスを大きく成長させた。ZVC Japan入社前は、2013年からヴイエムウェア株式会社でパートナービジネスを統括。2006年から2013年にかけては、シスコシステムズ合同会社にて、同社が買収したWebexのパートナー開拓に携わる。1992年に日本アイ・ビー・エム株式会社へ入社し、大和研究所にてThinkPadの開発部門に配属。1992年北海道大学工学部修士課程を修了。
■□ 収録後記 □■
佐賀さんのお話を通じて、AIを「導入するかどうか」という段階は終わり、いかに「高い透明性を持って使いこなすか」というフェーズに入ったことを痛感しました 。特に、AI同士が連携することで組織の境界が曖昧になるという指摘は、従来のIT管理の常識を大きくアップデートするものです 。
攻撃が「工業化」される厳しい現実があるからこそ、AIの行動を可視化し、リスクをコントロールする技術が企業の真の武器になります 。「AIは間違えることもある」という前提に立ち、それを見守りながら活用する。この誠実な管理の姿勢が、AI時代の勝者を分けるのだと感じました。
(JCGR編集部) -
毎週のように新しいツールやモデルが発表される現在のAIシーン。何を使えば正解なのか、ツールが多すぎて追いつけない。そんな「AI疲れ(AI Fatigue)」を感じている方も多いのではないでしょうか。
今回のゲストは、チェック・ポイント・ソフトウェア・テクノロジーズ日本法人社長の佐賀文宣さん。佐賀さんは、現在の混乱を「AIの限界」ではなく、AIが単なるツールから「企業の競争力を左右するインフラ」へと変貌する、本格的な普及期の入り口であると指摘します。
前編では、主要なAIプレイヤーの特性整理から、今まさに起きている「AIエージェント」への進化、そしてAIを「デジタル社員」としてどうマネジメントすべきか、その本質的な向き合い方を深掘りします。
■□ ハイライト □■
「AI疲れ」の正体は、仕事の仕組みが変わる「混乱」
現在の状況は、特定の課題を解くだけだった過去のAIブームとは異なります。AIがアプリケーションとして人間のワークフローに自律的に入り込み始めたことで、既存の仕事の仕組みが根底から揺らいでいることへの戸惑いが「疲れ」として表れているのです。
主要AIプレイヤーが構築する「インフラ化」の波
単なるモデルの性能比較ではなく、APIを通じて広がるOpenAIのエコシステム、検索やGmailと統合されたGoogleのGemini、長文読解と安全性に長けたAnthropicのClaude。AIが「選んで使うもの」から、ビジネスを支える「基盤」へと変わりつつある現状を整理します。
ツールから「AIエージェント(デジタル社員)」へ
目標を与えれば自ら計画を立て、実行し、評価まで行う「AIエージェント」の登場。それはもはや単なる道具ではなく、専門性を持ったチームや「デジタルなインターン」に近い存在です。1つのスーパーAIではなく、小さなエージェントを組み合わせて組織化する未来像を語ります。
「堂々と間違えるインターン」をどう管理するか
AIはハルシネーション(もっともらしい嘘)をつくことがあります。優秀に見えても、時には現場の機微を理解せず間違える。この「自律的に動くがミスもする」存在をブラックボックス化させず、可視化し、ガバナンスしていくことが経営の鍵となります。
<ゲスト・プロフィール>
佐賀 文宣(さが・ふみのり)さん
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 日本法人代表取締役社長
チェック・ポイント日本法人の拡大を主導し、顧客およびパートナーとの継続的な信頼の上、チェック・ポイントの戦略的方向性である「You Deserve the Best Security(お客様である企業や組織に最高のセキュリティを構築する)」の実現をミッションとする。
直近では、ZVC Japan 株式会社 (Zoom Video Communications, Inc.の日本法人)にて、社長を務めビジネスを大きく成長させた。ZVC Japan入社前は、2013年からヴイエムウェア株式会社でパートナービジネスを統括。2006年から2013年にかけては、シスコシステムズ合同会社にて、同社が買収したWebexのパートナー開拓に携わる。1992年に日本アイ・ビー・エム株式会社へ入社し、大和研究所にてThinkPadの開発部門に配属。1992年北海道大学工学部修士課程を修了。
■□ 収録後記 □■
佐賀さんのお話の中で非常に分かりやすかったのが、AIを「堂々と間違えるインターン」と例えた視点です。
期待しすぎるのでもなく、分からないからと禁止するのでもなく、その「思考プロセス(入り口と出口)」を見える化してマネジメントする。この姿勢は、従来のIT管理の枠を超えて、まさに「新しい時代の組織づくり」そのものであると感じました。
後半(4月10日公開予定)では、このAIエージェントが普及した世界で「ソフトウェアのビジネスモデル」や「セキュリティの境界線」がどう激変していくのか、さらに一歩踏み込んだ未来図を伺います。お楽しみに!
(JCGR編集部)
-
前回(前半)は、民間と行政の境界を「溶かす」文脈の重要性や、孤立する「一人情シス」を救うための日本初の情報職採用モデルについて伺いました。
▼前編はこちら
「官民の壁を「溶かす」文脈の力と、一人情シスを救う「広島モデル」の衝撃」
Apple Podcasts | Spotify後半となる今回は、セキュリティ投資を「ROI(投資利益率)」の枠組みから解き放ち、企業が10年後も生き残るための「信頼資本(Trust Capital)」として再定義します。ブラックハット(Black Hat)などの国際カンファレンスで目撃した最前線の潮流から、日本独自の「安全神話」の終焉、そして失敗を隠さず「集合知」に変えていくための新たな組織体「ガブレット(Govlet)」の構想まで、桑原さんの多角的な視点が光ります。
DXを単なる効率化ではなく、「Dream eXpression(夢の実現)」と読み解く桑原さんの力強いメッセージは、日々現場で奮闘するすべてのIT・セキュリティ担当者の心に灯をともすはずです。
■□ ハイライト □■
「ROI」で測れないセキュリティの真価:セキュリティ投資を「今年いくら儲かったか」で判断するのは、1990年代の自動車安全装備(衝突安全システム)への議論と同じです 。かつてはオプションだった安全機能が今は標準装備であるように、セキュリティもまた、企業の「信頼資本」を支えるエッセンシャルな要素へと進化すべき時期に来ています。
「冷蔵庫を開けたら攻撃者がいる」ゼロトラストの現実:日本の「安全島国」という地政学的思考は、サイバー空間では通用しません。境界型防御の限界を超え、「すでに攻撃者が家の中にいる」ことを前提としたゼロトラストの考え方と、攻撃されても立ち上がる力(レジリエンス)の重要性を説きます。
失敗を資産に変える「ガブレット(Govlet)」の挑戦: 行政や企業において「失敗」は隠すべきものとされがちですが、それはITガバナンスにおける「隠蔽」のリスクを生みます。自治体同士が失敗や成功の事例を共有し、境界を超えた「集合知」を構築するためのプラットフォーム「ガブレット」が目指す、境界のない連携の形を伺います。
DX成功のピラミッド:共感が技術を動かす 桑原さんが提唱するDX成功の4プロセス。それは、「共感(Empathy)」「技術(Technology)」「信頼(Trust)」「成長(Growth)」の積み重ねです。頂点の「成功(Success)」に至るためには、何よりもまず「共感」という種を蒔くことから始まります。
現場で闘う人々へのエール:技術の主役は常に「人」 「技術は道具であり、主役は常に人である。」一人ひとりの現場に灯した小さな明かりが、やがて組織を照らす大きな光になるという、桑原さん自身のキャリアに裏打ちされた感動的なエールで締めくくります 。
セキュリティ投資は「10年後の信頼資本」への投資:単年の利益(ROI)で測るのではなく、企業が生き残るための「信頼」を積み上げる投資姿勢が求められています 。
<ゲスト・プロフィール>
桑原義幸(くわはら・よしゆき)さん
前広島県情報戦略部長(2024年3月退官)。デジタルイクイップメント、KPMG、Arthur Andersen(現PwC)等の米系企業にてIT分野の研究開発や経営コンサルティング業務に従事。 2003年の金融庁入庁を皮切りに会計検査院、原子力規制委員会、福岡市などの情報部門責任者として要職を歴任。 2011年広島県CIOに就任し、退官までの13年間で同県をデジタル先進県へと導いた。現在、NECエグゼクティブストラテジスト、株式会社ArteVisione&Co. 代表取締役、株式会社Trive常務執行役員社長補佐兼CTOなど複数の業務に従事。■□ 収録後記 □■
桑原さんのお話の中で特に深く心に刻まれたのは、「成功のピラミッド」という考え方です。ピラミッドの頂点にある「成長」や「成功」へと至る土台には、技術(Technology)よりも先に「共感(Empathy)」が必要であるという視点は、効率を急ぎがちな現代のITプロジェクトにおいて見失われがちな本質ではないでしょうか。
また、セキュリティを「自動車の安全装備」に例え、かつてはオプションだったものが今や標準(エッセンシャル)となったという歴史の変遷も、現在のIT環境と重なり非常に説得力がありました。
目に見えないサイバー空間だからこそ、経営者が「信頼」という無形の資本を育てるために、どのような「投資の姿勢」を持つべきか。桑原さんの言葉は、「孤独な皿回し」を続ける担当者だけでなく、組織の未来を担うリーダーたちへの力強い指針となるはずです。
(JCGR編集部)
-
今回のゲストは、民間と行政の境界線を「Beyond Borders」の精神で歩み続けてきた桑原義幸さんです。
桑原さんは、外資系IT企業やコンサルティングファームを経て金融庁など中央省庁や福岡市の情報部門責任者を歴任し、広島県で13年にわたり初代情報戦略担当部長として地方自治体のDXを牽引してきたという、官民をまたいで希有な経歴をお持ちです。技術論だけでは決して突破できない「官民の壁」をいかにして「溶かして」きたのか。そして、地方自治体や中小企業が抱える「一人情シスの孤独」という切実な課題にどう向き合ってきたのか。
前編では、DXの本質を「Dream eXpression(夢の実現)」と定義する桑原さんの哲学と、日本初となる独自の「情報職」採用・育成プログラムを通じた組織変革の軌跡を詳しく伺います。
■□ ハイライト □■
官民の壁は「壊す」のではなく「溶かす」: 民間と行政の間に横たわる前例主義やスピード感のギャップ。桑原さんはこれを技術論で突破しようとするのではなく、「なぜやるのか」「誰のためにやるのか」という「文脈(ストーリー)を紡ぐ」ことで、双方の理解を腹落ちさせ、境界線を溶かしていくプロセスを重視してきました。
DX=「Dream eXpression(夢の実現)」:AIが「それっぽい正解」を瞬時に出す時代だからこそ、人間に求められるのは「良い問いを立てる力(右脳的思考)」です。フェラーリのデザインが「風との対話」から生まれたように、IT投資を単なるコスト削減ではなく、どんな未来を作りたいかという「想像(創造)」に変えていく思考法を提案します。
「皿回し」状態の一人情シスを救う「DXship(デジシップ)」: 数千人規模の基礎自治体でも、提供すべき行政サービスは都市部と同じ。限られた人数で無数のシステムを回す「孤独な皿回し」状態の担当者を救うため、広島県では都道府県として初となる「情報職」という専門職種を新設 。県で一括採用・育成した専門人材を市町へ派遣する「チーム広島」の画期的な仕組みを構築しました。
専門職としての誇りとキャリアパスの設計:3年ごとの人事異動で専門性が蓄積されない行政の課題に対し、4年かけて「情報職」のコンピテンシー定義やキャリアパスを確立 。最終ゴールに「CISO/CIO」だけでなく「民間でも通用する人材」を掲げ、情シス担当者が誇りを持てる土壌を整えた苦労と成果を語ります。
<ゲスト・プロフィール>
桑原 義幸(くわはら・よしゆき)さん
前広島県情報戦略部長(2024年3月退官)。デジタルイクイップメント、KPMG、Arthur Andersen(現PwC)等の米系企業にてIT分野の研究開発や経営コンサルティング業務に従事。 2003年の金融庁入庁を皮切りに会計検査院、原子力規制委員会、福岡市などの情報部門責任者として要職を歴任。 2011年広島県CIOに就任し、退官までの13年間で同県をデジタル先進県へと導いた。現在、NECエグゼクティブストラテジスト、株式会社ArteVisione&Co. 代表取締役、株式会社Trive常務執行役員社長補佐兼CTOなど複数の業務に従事。
■□ 収録後記 □■
桑原さんのお話の中で最も印象的だったのは、DXの「X」を「トランスフォーメーション」という難しい言葉ではなく、「eXpression(表現・実現)」と捉える視点です。とかく技術的なスペックやコストの議論に終始しがちなITの世界に、「どんな夢を叶えたいか」という人間中心の温度感を持ち込むことの大切さを教わりました。
また、地方自治体で孤軍奮闘する担当者の「やっと一人じゃなくなった」という言葉には、組織の壁を超えた連携の真の価値が凝縮されています 。
後半(3月13日公開予定)は、「信頼資本」と「失敗の資産化」というさらに深いテーマに踏み込んでいきます。どうぞお楽しみに。
(JCGR編集部)
-
有名ホワイトハッカー西尾素己さんを迎えた前回(前半)は、ランサムウェア攻撃が「RaaS」としてビジネス化している実態や、検知を逃れる巧妙な潜伏技術、そして現代の最大の火種である「インフォスティーラー」の脅威について深掘りしました。
▼前編はこちら
有名ホワイトハッカーが語るアサヒHDサイバー攻撃の裏側:境界型防御の終焉と「潜伏」の技術(ホワイトハッカー 西尾素己さん【前半】)
Spotify | Apple Podcasts
今回はその後半戦。なぜ多額の予算をかけた「模擬攻撃(ペネトレーションテスト)」をすり抜けて侵入を許してしまうのか。そして、バックアップを取っていたはずの企業が、なぜ数ヶ月もの復旧期間を要するのか。ホワイトハット(善意のハッカー)の視点から、従来のセキュリティ対策の「死角」を鋭く指摘していただきます。
■□ ハイライト □■
ペネトレーションテストは「万能」ではない:
侵入のルート(アタックパス)は数万通り存在し、テストですべてを網羅することは不可能です。業者が穴を見つけられなかったのではなく、サンプリングチェックとしてのテストの限界を理解し、いかに「面」で守る戦略を立てるかが重要であることを説きます 。
「年商4,000億円」を稼ぐランサムウェア業者の経済合理性:
RaaS(サービスとしてのランサムウェア)の運営者は、ロシアの富豪(オリガルヒ)を超える数千億円規模の収益を上げています。この莫大な利益がさらなる技術投資を生む「悪のサイクル」と、法律遵守を優先する大企業よりも、キャッシュフロー維持のために身代金を支払ってしまう中小企業がターゲットにされている現実を明かします。
バックアップがあるのに「復旧できない」技術的背景:
データ自体は無事でも、OSより下のレイヤー(BIOSやUEFI)や設定ファイル(コントロールプレーン)が汚染されている場合、復旧先を完全に「除染」できなければ再開は不可能です。バックアップが機能しない深層的な理由と、設計段階からセキュリティを組み込む「セキュリティ・バイ・デザイン」の必要性を解説します。
「CFOが不在」の会社はないのに、なぜ「CISO」はいないのか:
日本企業に多い「CIO/CTO/CISOの兼務」を、西尾さんは「経営としてお粗末」と断じます。サイバーリスクが事業継続を左右する現代において、専門の責任者(CISO)を役員クラスに配置し、適切なキャリアパスを構築することが、日本のセキュリティ人材不足を解消する鍵であることを提言します。
<ゲスト>西尾 素己(にしお・もとき)さん
幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。サイバーセキュリティ研究者、ホワイトハット。アンチウイルスエンジンの開発等を経て、現在はコンサルティング、アカデミア、安全保障の3つの観点から活動している。海外の捜査機関と連携し、サイバー攻撃ツールの解析や海外当局への捜査協力に従事するなど、最前線でサイバー犯罪の抑止に貢献している。
■□ 収録後記 □■
西尾さんとの対話を通じて突きつけられたのは、セキュリティを「コスト」や「後付けの装備」と考える時代の終わりです。 特に、「日本のマーケットでは、インシデントを起こした企業の株価が上がることすらある。それは『ようやくまともな投資をするはずだ』という投資家からの皮肉な期待値である」というお話は、日本の経営層にとって非常に重い指摘ではないでしょうか。セキュリティ担当者の皆様の価値は「現在の給料の5倍はある」という西尾さんの熱いエールとともに、今回の後半戦が、皆様の組織におけるガバナンスとキャリアのあり方を見直すきっかけになれば幸いです。
(JCGR編集部)
-
近年、日本を代表する大企業が相次いで大規模なサイバー攻撃の標的となっています。技術の進歩とともに攻撃の手法は高度化し、もはや従来の「ウイルス対策ソフトを入れていれば安心」という時代は完全に過去のものとなりました。では、現代の攻撃者はどのような「道具」を使い、どのようにして企業の防壁をすり抜けてくるのでしょうか。
リニューアル第2回のゲストは、ホワイトハッカー(善意のハッカー、ホワイトハット)として国内外で活躍され、海外の捜査機関とも連携してサイバー犯罪の抑止に取り組んでいる西尾素己さん。最近、大きな話題となったアサヒHDの事例も交えながら、実際の攻撃ツールの解析を通じて見えてきた、ランサムウェア攻撃の驚くべきエコシステムや、検知を逃れるための巧妙な潜伏テクニックについて、ホワイトハッカーならではの視点で解き明かしていただきます。
前半は、攻撃者が利用する「RaaS(サービスとしてのランサムウェア)」の実態から議論を始め、VPNの脆弱性や、現代のセキュリティにおける最大の火種である「インフォスティーラー」の脅威について深く掘り下げました。
<ゲスト>西尾 素己(にしお・もとき)さん
幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。サイバーセキュリティ研究者、ホワイトハット。アンチウイルスエンジンの開発等を経て、現在はコンサルティング、アカデミア、安全保障の3つの観点から活動している。海外の捜査機関と連携し、サイバー攻撃ツールの解析や海外当局への捜査協力に従事するなど、最前線でサイバー犯罪の抑止に貢献している。■□ ハイライト □■
攻撃ツールも「サブスク」と「サポート」の時代
現代のランサムウェア攻撃は、ウイルス開発から交渉窓口のコールセンターまでがパッケージ化された「RaaS(Ransomware as a Service)」という業態で行われています。攻撃者がどのような組織体制で、どのように洗練されたツールを手に入れているのか、その衝撃の実態を明かします。
「メタルギア」さながらの単独潜入。Living off the Land(LotL)
ウイルス対策ソフトの目を盗むため、攻撃者はOS標準のコマンドを悪用する「Living off the Land(自給自足)」という手法を用います。銃を持ち込むのではなく「現地の売店で凶器を作る」ような、巧妙な潜伏と権限昇格のテクニック、そしてログを消去して監視を無効化する恐るべき技術を解説します。
パッチ適用率はわずか4割。VPNという名の「開かれた窓」
リモートワークの普及で欠かせなくなったVPNですが、攻撃者にとっては格好の標的です。脆弱性修正パッチの適用率がなぜこれほど低いのか、そして攻撃者が判明から3ヶ月以上経過した古い穴をいかに「おいしく」利用しているのか、境界型防御が限界を迎えている現状を指摘します。
5年の潜伏を経て牙を剥く「インフォスティーラー」
ブラウザに寄生し、あらゆるSaaSの認証情報を盗み出す「インフォスティーラー」の蔓延が、相次ぐインシデントの引き金となっています。数年間にわたる長期潜伏の末、ある日突然アカウントを乗っ取って侵入してくる「ID窃取型」攻撃のメカニズムを紐解きます。
中小企業こそ有利? IDガバナンス主導のゼロトラスト
レガシーな巨大ネットワークを持つ大企業よりも、SaaSベースで動く中小企業やスタートアップの方が、実は最新の「ゼロトラスト」へ移行しやすいという意外な視点をお届けします。今後、企業が生き残るために優先すべき「ガバナンス」と「セキュリティ」の力点の違いを語ります。
■□ 収録後記 □■
西尾さんのお話の中で特に印象的だったのは、セキュリティはもはや「総合格闘技」であるという言葉です。単にツールを導入するだけでなく、攻撃者の心理やOSの深部までを見通す洞察力が求められています。
特に「リビング・オフ・ザ・ランド」を例えた、空港のセキュリティゲートを素手で通り抜け、売店の商品を組み合わせて武器を作るという比喩は、現代の脅威の本質を見事に言い当てています。また、大企業だけでなく、SaaSを多用する中小企業の方が実はリスクの「ど真ん中」にいるという指摘は、多くの担当者にとって身が引き締まる話だったのではないでしょうか。
今回の前編は、後半で語られる「ガバナンスの本質」や「これからの時代の守り方」を理解するための重要な土台となります。自社のセキュリティの常識を疑うきっかけとして、ぜひお聴きいただければ幸いです。後半は2月6日に公開予定です。お楽しみに!
-
前回(前半)は、セキュリティが技術的な問題から経営課題へと「潮目」が変わった背景と、人の弱さを前提に組織を守る「性弱説」という新たなアプローチについて深掘りしました 。
▼前編はこちら
「性弱説」で守る組織と人。経営課題となったサイバーセキュリティの現在地(NTTセキュリティ・ジャパン斉藤宗一郎さん【前編】)
Spotify | Apple Podcasts
今回はその続編として、より実践的な組織論とリーダーシップに迫ります。ぜひ後半をお楽しみください。
サイバーセキュリティが「経営課題」であるならば、経営層や監査部門は具体的にどう関与すべきなのでしょうか。そして、未知の領域である「生成AI」のリスク管理は誰が主導すべきなのでしょうか。
元資生堂グループCISOで、現在はNTTセキュリティ・ジャパンにてCISOアドバイザーを務める斉藤宗一郎さんをお迎えしたリニューアル第1回の後半戦 。 今回は、組織のガバナンス構造(3線モデル)の理想と現実、そしてNTTグループで実施されているユニークな「社長研修」のエピソードを通じて、組織全体でリスクに立ち向かうための実践的な処方箋を紐解きます 。
■□ ハイライト □■
「1.5線」のジレンマと、監査部門へのエース投入:ガバナンスの基本である「3線モデル」に対し、多くの日本企業は現場とセキュリティ部門が入り混じった「1.5線」の状態に留まっています。この状況を打破するために斉藤さんが実践したのは、セキュリティ部門のエース人材をあえて「監査部門(3線)」へ異動させるという人事戦略でした。その意図と、組織全体にもたらす効果について解説します。
生成AIのガイドライン策定は誰の仕事か? :
生成AIのリスクは、技術的なセキュリティだけでなく、倫理(Ethics)、法務(Legal)、社会的影響(Social Impact)の「ELSI」を含みます。IT部門任せにするのではなく、経営戦略や法務部門がオーナーシップを持ち、多角的な視点でガイドラインを策定する必要性を議論します。
IT用語禁止? NTTグループの「社長研修」:
NTTグループで実施されている経営層向けセキュリティ研修では、あえてIT用語を一切使いません。学ぶのは技術ではなく「有事の振る舞い」。「復旧を急げ」「徹底的に調べろ」――社長の何気ない一言が現場を萎縮させ、証拠隠滅や判断ミスを招くリスクについて、リアルなシミュレーションを通して学びます。
平時の備えとしての「セキュリティのかかりつけ医」:
サイバー攻撃を受けた際、初対面の専門業者(フォレンジックベンダー)に調査を依頼しても、ネットワーク構成の把握から始まり初動が遅れてしまいます。人間の医療と同じく、平時から自社の「健康状態」や「体質」を理解している信頼できるパートナー(かかりつけ医)を持つことの重要性を説きます。
<ゲスト・プロフィール>
斉藤 宗一郎(さいとう・そういちろう)さんNTTセキュリティ・ジャパン株式会社 CISOアドバイザー 日本IBM、米国の通信会社ベライフォンでのサイバーセキュリティコンサルタントを経て、資生堂にて6年間情報セキュリティ責任者(CISO)を務める。現場の運用からコンサルティング、そして全体を俯瞰するCISOまで、粒度の異なる視点を行き来する豊富な経験を持つ。
■□ 収録後記 □■
後半の議論で特に心に残ったのは、「有事の際の社長の一言の重み」です。自動車の運転でパニックブレーキを普段から練習していないと踏めないように、経営者もサイバーインシデントという「有事」のシミュレーションをしておかなければ、適切なアクセルとブレーキの判断はできません。また、話題に挙がった「かかりつけ医」の重要性は、生活習慣病の救急搬送における「最初の15分が生死を分ける」という医療の現実とも重なります。日頃からカルテ(ネットワーク図や構成)を共有できるパートナーの存在が、企業の命運を左右することを痛感させられる回でした。
セキュリティはゴールではなく、終わりのない「ジャーニー(旅)」です。日々プレッシャーと戦う担当者の皆様に、心からのエールを送ります。
(JCGR編集部)
-
サイバー攻撃の手法が高度化・巧妙化する中、企業のセキュリティ対策は大きな転換点を迎えています。もはやIT部門だけで完結する技術的な課題ではなく、経営層がリーダーシップを発揮すべき「経営課題」としての認識が不可欠です。しかし、具体的にどのように経営層を巻き込み、組織全体の意識を変えていけばよいのでしょうか。
今回より、ジャーナリストの川端由美が新パーソナリティを担当。リニューアル第1回のゲストに、元資生堂グループCISOで、現在はNTTセキュリティ・ジャパン株式会社にてCISOアドバイザーを務める斉藤宗一郎さんをお迎えし、実務的な視点からセキュリティの最前線を語っていただきます。
前半となる今回は、セキュリティ対策の「潮目の変化」と、人を疑うのではなく弱さを前提とする「性弱説」に基づいたガバナンスのあり方について議論を深めました。
■□ ハイライト □■
経営課題へシフトする「チームスポーツ」としてのセキュリティ:
かつてはIT部門内で完結していたインシデント対応ですが、現在はサプライチェーン全体や経営層を巻き込む事案が増加しています。米国では「チームスポーツ」とも表現されるこの変化の中で、なぜ今、セキュリティが企業存続に関わる経営マターとなっているのか、その背景を解説します。
「見えないものは守れない」ランサムウェアと投資判断:
どこにデータがあるか不明確な状態では、リスクを管理することはできません。被害者でありながら加害者のような対応を求められるランサムウェア被害の特殊性や、経営層から予算を獲得するために有効な「PML(予想最大損失)」を用いた定量的な対話手法について掘り下げます 。
性悪説でも性善説でもない。「性弱説」のアプローチ:
日本企業になじみ深い性善説、あるいは厳格な性悪説ではなく、斉藤さんは「人は本来弱いものである」という「性弱説」を提唱します。不正のトライアングル(動機・正当化・機会)のうち、組織がコントロール可能な「機会」をテクノロジーでいかに減らし、社員を魔が差す瞬間から守るかという視点は必聴です。
IT部門任せにしない「データオーナーシップ」:
データの価値や鮮度(いつまで機密として守るべきか)を最も理解しているのは、IT部門ではなく事業部門(データオーナー)です。一律に鍵をかけるのではなく、ビジネスの現場が主体となって情報の重要度を判断し、適切な強度で守るための役割分担について語ります。
<ゲスト・プロフィール>
斉藤 宗一郎(さいとう・そういちろう)さん
NTTセキュリティ・ジャパン株式会社 CISOアドバイザー
日本IBM、米国の通信会社ベライフォンでのサイバーセキュリティコンサルタントを経て、資生堂にて6年間情報セキュリティ責任者(CISO)を務める。現場の運用からコンサルティング、そして全体を俯瞰するCISOまで、粒度の異なる視点を行き来する豊富な経験を持つ。
■□ 収録後記 □■
今回の対話の中で特に印象的だったのは、「ファイアウォールなどの防御壁は、防火扉のようなもの。利便性のために開けっ放しにしていては、いざという時に役に立たない」という工場になぞらえた例え話でした。
エンジニア出身の私(川端)にとって非常に腹落ちする説明であり、見えにくいデジタルのリスクを物理的な現場の安全管理に置き換えて考えることの重要性を再認識しました。また、「社員を監視する」のではなく、「弱い人間である社員を守るためにログを取る」という斉藤さんの温かい眼差しは、セキュリティガバナンスの冷たいイメージを覆すものでした。
後半ではさらに組織論に踏み込み、ガバナンスの構造や経営リーダーシップについて伺います。(JCGR編集部)
-
自動車が単なる移動手段から「走るスマートフォン」へと進化する中、サイバーセキュリティは私たちの安全にどう関わってくるのでしょうか。インターネット接続が常識となるSDV(Software Defined Vehicle)の時代において、自動車産業はかつてない構造変革の只中にあります。
今回は、自動車ジャーナリストであり、欧州で戦略コンサルタントとしても活躍された川端由美さんをゲスト(実はホストの実姉!)にお招きし、自動車とセキュリティの現在地を深掘り。中国市場が先行するユーザー体験の革命から、ボッシュやブラックベリーといったプレイヤーの劇的な変化、そして「見えない安全」を守るための新たな課題まで、自動車業界の最前線を語ります。
■□ハイライト □■
インターネット不在地からの脱却とSDVの衝撃: 長らく「インターネット不在地」と言われた自動車が、4G/LTEの普及により常時接続へと変化しました 。中国市場でのEV普及が加速させた「ソフトウェア定義(SDV)」の流れと、AIエージェントや車内カラオケといった新たなユーザー体験の事例を紹介します 。
サイバー攻撃のリスクと自動車業界の安全意識: 自動車のハッキングリスクは、単なる盗難だけでなく、偽情報による渋滞誘発や暴走といったテロリズムの脅威も含んでいます 。人命を預かる産業として極めて高い安全意識を持つ自動車メーカーが、いかにしてサイバー空間の脅威と向き合っているかを解説します 。
サプライヤーの変革とブラックベリーの復権: ボッシュやコンチネンタルといったメガサプライヤーが、AI人材の確保やソフトウェア企業買収を通じてテック企業へと変貌しています 。また、かつてのスマホメーカー「ブラックベリー」が、高いセキュリティ技術を武器に、車載OSとミドルウェアの分野で不可欠な存在となっている現状に迫ります 。
半導体と製造物責任の行方: SDV化に伴い、重要となる半導体はパワー系から演算処理を行うSoCへとシフトしています 。複雑化するサプライチェーンの中で、ソフトウェアの不具合やサイバー攻撃に対する責任の所在(製造物責任法の適用範囲など)をどう整理していくのか、業界が抱える難題を考察します 。
<ゲスト・プロフィール>
川端 由美(かわばた・ゆみ)さん
自動車ジャーナリスト / 戦略コンサルタント
工学修士。住友電工にてエンジニアとして務めた後、二玄社『NAVI』編集記者に転身。内閣官房、内閣府、国交省、警察庁などの有識者委員を歴任。ジャーナリスト活動と並行して、戦略コンサルに勤務した後、再び、戦略イノベーション・スペシャリストとして独立。現在は、ジャーナリストとのパラレル・キャリア。 海外のモーターショーや学会を積極的に取材する国際派。著書に、『日本車は生き残れるか』(講談社、2021年、桑島浩彰氏と共著)がある。日経Think!エキスパートとしても活動。■□ 収録後記 □■
収録を終え、自動車という「物理的な鉄の塊」と「見えないソフトウェア」が融合する過渡期特有の緊張感を強く感じました。 川端由美さんのお話で特に印象的だったのは、「見えない安全・安心」をどう設計するかという視点です 。従来の自動車産業は、ブレーキやエンジンのように目に見える部品の信頼性を極限まで高めることで安全を担保してきました。しかしSDVの時代には、ユーザーが意識しない裏側で動くクラウドやSaaS、OSのセキュリティが命綱となります。ブラックベリーがセキュリティ技術を核に自動車産業で復権しているように、産業構造の転換点は新たなプレイヤーの好機でもあります 。一方で、ホストとしてSaaS管理の視点から見ると、車というクリティカルな環境で「何が入っているかわからない」状態を防ぐソフトウェア管理(ホワイトリスト化など)の重要性は、オフィスのIT管理以上にシビアな課題だと痛感しました 。 利便性と引き換えに増大するリスクを、誰が、どのようにコストを負担して守っていくのか。この議論は、自動車業界のみならず、IoT化が進むすべての製造業への問いかけでもあります。
(ホスト:JCGR 川端隆史)
-
9月26日に公開した前半では、「シャドーAI」に潜む情報漏洩リスクなどを中心に議論しました。後半はさらに一歩踏み込み、企業が競争力強化のために構築する「独自LLM(大規模言語モデル)」に潜む新たな脅威と、AIがAIと戦うサイバーセキュリティの未来を展望します。
自社の独自情報を安全に活用し、他社との差別化を図る切り札として期待される独自LLM。しかし、その構築と運用には、これまでとは質の異なるセキュリティリスクが潜んでいます。少し前まではSF映画の世界だった「AI対AIの攻防」が日常の現実となった今、日本企業は何を課題とし、どう立ち向かうべきなのでしょうか。
■□ハイライト□■
競争力の源泉か、新たなリスクか?「独自LLM」構築の光と影:なぜ今、多くの企業がパブリックな生成AIから、クローズドな環境で運用する「プライベートLLM」へと向かうのでしょうか。金融や医療といった重要インフラ分野で先行するその動きの背景と、自社でAIを運用管理することの新たなリスクを解説します。モデルにマルウェアが?生成AIならではの巧妙な攻撃手口:オープンソースのLLMモデル自体に悪意のあるコードが仕込まれていたり、AIを巧みに騙して機密情報を盗む「プロンプトインジェクション」攻撃など、従来の対策では防ぎきれない脅威が台頭しています。日本の企業が陥りがちなオープンソース利用の落とし穴とは何でしょうか。
もうSFではない。「AIvsAI」のサイバー攻防時代:攻撃側のAIがマルウェアを自動生成し、防御を突破するために自律的に学習・改善を繰り返す。そんな「攻撃のエージェント化」が現実のものとなっています。専門家でなくとも高度な攻撃者になれてしまう時代に、防御側はどう対抗すればよいのでしょうか。
日本の最大の課題は「人。高度セキュリティ人材不足への処方箋:政府もAIによるサイバー攻撃の脅威は認識しているものの、対策の担い手となる高度なセキュリティ人材の不足が深刻な課題となっています。外部ベンダーに依存しがちな体質から脱却し、大企業と中小企業がそれぞれ取るべきアプローチの違いについて議論します。
<ゲスト・プロフィール>
入谷光浩(いりや・みつひろ)さん
株式会社アイ・ティ・アールシニアアナリストhttps://www.itr.co.jp/company/analyst/mitsuhiro-iriya外資系IT市場調査会社において15年間アナリストに従事し、ITインフラストラクチャ、システム運用管理、アプリケーション開発プラットフォームの領域について、市場・技術動向に関する調査とレポート執筆、ユーザー企業に対するアドバイザリー業務、ベンダーのビジネス・製品戦略支援を担当。クラウドサービス市場およびソフトウェア市場の国内における調査責任者も務めた。また、複数の外資系ITベンダーにおいては、事業戦略・企画の立案、新規事業調査、競合調査・分析にも携わった。イベントやセミナーでの講演やメディアへの記事寄稿の実績を多く持つ。2023年3月よりITRのアナリストとして、主にクラウド・コンピューティング、インフラストラクチャ、開発プラットフォーム、システム運用管理の分野を担当。グリーントランスフォーメーションに関する市場・技術動向調査にも従事する。
■□収録後記□■
入谷さんとの対話は、生成AIのリスク管理というテーマをさらに深く、そして未来へと押し進めるものでした。特に、競争力の源泉となるはずの独自LLMの、その土台となるオープンソースモデル自体にマルウェアが仕込まれている危険性があるというお話は、セキュリティの常識が通用しない新時代に突入したことを痛感させられました。また、「AIvsAI」の攻防が現実となり、専門知識のない個人でさえ容易に攻撃者になれてしまうという指摘は、セキュリティ対策が一部の専門家だけのものではなくなったことを示唆しています。
しかし、絶望ばかりではありません。入谷さんが最後に強調された「IT部門と事業部門の対話」と「経営層のリーダーシップ」、そしてリスクを恐れて利用を禁じるのではなく、リスクと活用価値の「バランス」を見出すことの重要性にこそ、私たちが進むべき道があるのだと感じました。AIという強力なツールとどう向き合うべきか、組織全体で考えるきっかけとなる回になったのではないでしょうか。
(ホスト:JCGR川端隆史)
-
生成AIの活用が企業の競争力を左右する時代、その裏側で「シャドーAI」という新たな脅威が静かに広がっています。利便性を求めて従業員が個人的に利用するAIサービスが、気づかぬうちに重大な情報漏洩の温床となるリスクを、企業はどのように管理すればよいのでしょうか。公式ツールを導入するだけでは、この問題は解決しないかもしれません。
今回は、IT調査・コンサルティングの国内最大手、株式会社アイ・ティー・アールでシニアナリストを務める入谷光弘さんをゲストにお迎えし、「IT資産管理」の視点から生成AI時代のリスクと対策の最前線を解き明かします。
前半は、クラウド化やテレワークによって様変わりしたIT資産管理の現状から議論を始め、企業の公式ツールだけでは満足できない従業員が生み出す「シャドーAI」の実態と、そこに潜む情報漏洩リスクについて深く掘り下げました。
■□ ハイライト □■
IT資産管理、激変の20年: かつてはPCやサーバーといった物理的な「モノ」の管理が中心でしたが、クラウドやテレワークの普及で、管理対象はSaaS、そして「ID」そのものへと拡大しました 。なぜ今、資産管理の重要性がかつてなく高まっているのか、その構造的変化を解説します 。新たな脅威「シャドーAI」の罠: 会社が正式に生成AIを導入しても、それが自分の業務に合わない、使いにくいと感じた従業員が、より便利な別のAIサービスを個人で使い始めてしまう―― 。この「シャドーAI」がなぜ発生するのか、生産性向上の裏で静かに進行するリスクのメカニズムを考察します。
あなたの会社も?気づかぬうちに進む情報漏洩: シャドーAIが引き起こす最大のリスクは、機密情報や顧客情報、そして自社の知的財産の漏洩です 。ある調査では、シャドーAIによるインシデントで最も漏洩したのは「顧客の機密情報(65%)」でした 。従業員に悪意がなくとも、企業の競争力の源泉が外部に流出する危険性を語ります。
人手不足という現実: 中堅・中小企業の苦悩: 生成AIの活用が不可欠と理解しつつも、セキュリティ対策まで手が回らないのが多くの企業の現実です。特にIT人材の不足は深刻で、セキュアな運用体制を構築することの難しさを指摘します。
<ゲスト・プロフィール>
入谷 光弘(いりや・みつひろ)さん
株式会社アイ・ティ・アール シニアアナリストhttps://www.itr.co.jp/company/analyst/mitsuhiro-iriya外資系IT市場調査会社において15年間アナリストに従事し、ITインフラストラクチャ、システム運用管理、アプリケーション開発プラットフォームの領域について、市場・技術動向に関する調査とレポート執筆、ユーザー企業に対するアドバイザリー業務、ベンダーのビジネス・製品戦略支援を担当。クラウドサービス市場およびソフトウェア市場の国内における調査責任者も務めた。また、複数の外資系ITベンダーにおいては、事業戦略・企画の立案、新規事業調査、競合調査・分析にも携わった。イベントやセミナーでの講演やメディアへの記事寄稿の実績を多く持つ。 2023年3月よりITRのアナリストとして、主にクラウド・コンピューティング、インフラストラクチャ、開発プラットフォーム、システム運用管理の分野を担当。グリーントランスフォーメーションに関する市場・技術動向調査にも従事する。
■□ 収録後記 □■
入谷さんとのお話を通じ、生成AIという強力なツールの「光」の部分だけでなく、その裏側に広がる「影」の管理が、いかに現代の企業にとって喫緊の課題であるかを改めて痛感しました。
特に印象的だったのは、「会社が良かれと思って導入した公式AIが、逆にシャドーAIを生む引き金になりうる」という指摘です 。これは、単にツールを提供すればDXが進むという安易な考えへの警鐘であり、従業員の利用実態にまで目を配ることの重要性を示唆しています。
また、シャドーAIへの対策は、現時点では完璧な技術的解決策がなく、ガイドラインの策定や従業員教育といった地道な運用面の努力に頼らざるを得ないというお話も、多くのIT部門担当者が直面する現実だと思います 。
今回の前編は、後半で語られる「独自LLM(大規模言語モデル)のリスク」や「AI vs AIのセキュリティ攻防」といった、より未来の脅威を理解するための重要な土台となります。自社のITガバナンスのあり方を見つめ直すきっかけとして、ぜひお聴きいただければ幸いです。
(ホスト:JCGR 川端隆史)
-
インテリジェンスの基本原則を紐解いた前編に続き、後編では、現代の企業が直面するサイバー・物理空間の具体的な脅威へと、さらに深く踏み込みます。技術や情報の流出は、もはやサイバー攻撃や産業スパイといった典型的な手口だけで起こるものではありません。日常業務の裏側や、見過ごされがちな組織の脆弱性にこそ、真のリスクは潜んでいます。
後編では、引き続きインテリジェンスの専門家である稲村優さんを迎え、企業の生命線を脅かすリアルな脅威の実態を明らかにします。「通常取引」という合法的な経済活動から技術が流出するメカニズムから、従業員が使う個人向けクラウドストレージ「シャドーIT」の危険性、そしてオフィスの受付を突破する巧妙な「ソーシャルエンジニアリング」の手口まで。机上の空論ではない、現場で起こりうる脅威とその対策に迫ります。
■□ ハイライト □■
技術流出の意外な経路: 技術情報の流出は、サイバー攻撃や内部不正といった違法なものだけではありません 。顧客に製品を販売する「通常取引」の中で、リバースエンジニアリングによって技術が流出するリスクや、価値が見過ごされがちな試作品の「失敗データ」の重要性など、企業が気づきにくい脅威の入り口を解説します 。
潜む脅威「シャドーIT」: なぜ従業員は、会社が許可していないツールを使ってしまうのか。業務端末から個人のGmailやGoogle Driveを利用する危険性や、オークションサイトのメッセージ機能といった意外な手口を使った情報持ち出しのリスクを指摘 。管理の目が行き届かないUSBメモリが引き起こす物理的な情報流出の課題にも迫ります 。
究極の防衛策は「人」にあり: 高度な技術的対策と並行して、なぜ従業員のエンゲージメントを高めることが不可欠なのか 。高額な報酬での引き抜きや内部不正の動機を芽生えさせないための企業文化や帰属意識の重要性を、人事リスクの観点から解き明かします 。家族を会社に招くイベントも、実は有効なリクルート対策の一つであると語ります 。
物理的な壁が破られるとき: オフィスの入退館ゲートを過信してはならない理由とは。社員になりすまして受付を突破し、PCを操作する「ソーシャルエンジニアリング」の巧妙な手口や、退職者によるリスクを具体的に解説 。100%の安全はあり得ない中で、どこを守るべきかという「チョークポイント」を見極めるリスクアセスメントの重要性を説きます 。
<ゲスト・プロフィール>
稲村 悠(いなむら・ゆう)さん
日本カウンターインテリジェンス協会 代表理事、Fortis Intelligence Advisory株式会社代表
大卒後、警視庁に入庁。刑事課勤務を経て公安部捜査官として諜報事件捜査や情報収集に従事した経験を持つ。警視庁退職後は、不正調査業界で活躍後、大手コンサルティングファーム(Big4)にて経済安全保障・地政学リスク対応に従事した。その後、Fortis Intelligence Advisory株式会社を設立。世界最大級のセキュリティ企業と連携しながら経済安全保障対応や技術情報管理、企業におけるインテリジェンス機能構築などのアドバイザリーを行う。著書に『企業インテリジェンス』(講談社)、『カウンターインテリジェンス──防諜論」(育鵬社)、『元公安捜査官が教える 「本音」「嘘」「秘密」を引き出す技術』(WAVE出版)
■□ 収録後記 □■
稲村さんとの対話を通じて、現代のセキュリティリスクがいかに多層的で、サイバー空間と物理空間、そして人の心理の隙間を巧みに突いてくるものであるかを改めて痛感しました。
特に衝撃的だったのは、監査担当になりすまして受付を突破するというソーシャルエンジニアリングの実例です 。最新のファイアウォールも、人間の思い込みや信頼関係の前では無力化されかねないという事実は、セキュリティ対策が単なるIT部門だけの課題ではないことを浮き彫りにします。
また、究極的な対策として「従業員のエンゲージメント」の重要性を指摘された点も、非常に示唆に富んでいました 。厳格なルールや監視システムを構築する一方で、従業員が「この会社のために働きたい」と思えるようなポジティブな環境を作ることこそが、最も強力な防衛策になるという視点は、多くの経営者やリーダーにとって新たな気づきとなるのではないでしょうか。
今回の後編は、日々報じられるサイバー攻撃のニュースの裏側にある、より生々しく、しかし見過ごされがちなリスクの本質に光を当てています。自社の「本当の弱点」はどこにあるのか、ぜひこの放送をヒントに見つめ直していただければ幸いです。
9月8日、稲村さんの新刊「謀略の技術-スパイが実践する籠絡(ヒュミント)の手法」(中公新書ラクレ)が出版されました。是非、お読みください!
(ホスト:JCGR 川端隆史)
-
経済安全保障リスクが経営の根幹を揺るがす時代、企業は押し寄せる情報の波をいかに乗りこなし、羅針盤とすべき「知」を手にすることができるのでしょうか。「インテリジェンス」という言葉は頻繁に聞かれるようになりましたが、その本質的な意味や実践方法について、いまだ理解が進んでいません。ただ情報を集めるだけの活動で、激化する国際競争や地政学リスクの荒波を乗り越えることはできるのでしょうか。
今回は、日本カウンターインテリジェンス協会代表理事の稲村悠さんをゲストにお招きし、「企業インテリジェンス」の核心について、サイバーセキュリティの視点を交えつつ解き明かします。
前半は、単なる情報収集にとどまらない戦略的な「インテリジェンス・サイクル」の重要性から 、OSINT(公開情報)やフェイクニュースが氾濫する「ポスト・トゥルース」時代に求められる情報の「目利き」について議論しました。
■□ ハイライト □■
インテリジェンスの本当の意味: 「インテリジェンス」とは、単なる情報収集活動ではありません 。知識・活動・組織という3つの側面からその本質を解き明かし 、企業の意思決定に貢献するための戦略立案から分析、活動展開までを含んだ一連のサイクルこそが重要であると解説します 。
「ニュースクリッピング」の罠: なぜ目的のない情報収集は失敗に終わるのか 。企業の具体的なニーズや戦略と結びつかないまま、ただ地政学ニュースを集めて報告するだけでは、価値あるインテリジェンスにはならないという典型的な失敗例を挙げ、その構造的な問題を考察します 。
情報化時代のパラドックス: サイバー空間の発達で情報が氾濫する現代において、なぜ「旧来のインテリジェンスサイクル」が逆に価値を帯びるのか 。誰もが情報にアクセスできる時代だからこそ、要求・収集・分析・報告という規律あるプロセスが、組織の混乱を防ぎ、情報を真の洞察へと昇華させる生命線となることを語ります 。
ポスト・トゥルースを乗りこなす: フェイクニュースや出所の怪しい情報が溢れる中で、企業はどのように真実を見抜けばよいのでしょうか 。声の大きい情報が真実を覆い隠す「ポスト・トゥルース」の時代を乗り切るための情報の「目利き」の重要性と、その防衛策としてのインテリジェンスの役割を解き明かします。
<ゲスト・プロフィール>
稲村 悠(いなむら・ゆう)さん
日本カウンターインテリジェンス協会 代表理事、Fortis Intelligence Advisory株式会社代表
大卒後、警視庁に入庁。刑事課勤務を経て公安部捜査官として諜報事件捜査や情報収集に従事した経験を持つ。警視庁退職後は、不正調査業界で活躍後、大手コンサルティングファーム(Big4)にて経済安全保障・地政学リスク対応に従事した。その後、Fortis Intelligence Advisory株式会社を設立。世界最大級のセキュリティ企業と連携しながら経済安全保障対応や技術情報管理、企業におけるインテリジェンス機能構築などのアドバイザリーを行う。著書に『企業インテリジェンス』(講談社)、『カウンターインテリジェンス──防諜論」(育鵬社)、『元公安捜査官が教える 「本音」「嘘」「秘密」を引き出す技術』(WAVE出版)
■□ 収録後記 □■
稲村さんとのお話を通じ、「インテリジェンス」という言葉が持つ本来の重みと深さを改めて痛感しました。それは単なる流行りのビジネス用語ではなく、組織の意思決定の質を左右する極めて体系的な営みです。
特に印象的だったのは、情報が民主化された現代において、最新のツールを追い求めること以上に、むしろ規律ある古典的なプロセスに立ち返ることの重要性を指摘された点です。目的なく集められた情報はノイズでしかないというお話は、日々大量の情報に接する我々全員にとって、耳の痛い真実だったのではないでしょうか。
また、「ポスト・トゥルース」という言葉に象徴されるように、何が真実かを見極めること自体が困難な時代になっています。そうした中で、情報源を問い、論理的な裏付けを求めるというインテリジェンスの基本作法は、ビジネスの世界だけでなく、我々が社会と向き合う上でも不可欠な作法なのだと感じました。
今回の前編は、後編で語られる具体的な脅威を理解するための重要な土台となります。自社の「知」のあり方を見つめ直すきっかけとして、ぜひお聴きいただければ幸いです。
なお、稲村さんの新刊「謀略の技術-スパイが実践する籠絡(ヒュミント)の手法」は9月8日に発売予定です!
(ホスト:JCGR 川端隆史)
-
新興国ファイナンスと地政学リスクの最前線に、サイバーセキュリティはどのような影響を与えているのでしょうか。インフラ投資や資源開発といった巨大プロジェクトは、従来からクーデターや紛争、契約不履行などの「政治リスク」と隣り合わせでした。しかし、デジタル化が加速する現代において、そのリスクの様相は大きく変化しています。
教科書には載っていないリスクの捉え方: 一般的な格付けだけでは見えない、新興国投資の真のリスクとは何か 。プロジェクトの優先順位や、国のトップが持つ「ポリティカルウィル(政治的意思)」が、事業の成否を分ける重要性を解説します 。
今回は、世界銀行グループの多数国間投資保証機関(MIGA)で東アジア太平洋地域代表を務める林田修一さんをゲストにお招きし、新興国ファイナンスの現場で起きている地政学リスクのリアルな変化を深掘り。国家の意思決定を左右する「ポリティカルウィル」の重要性から、海底ケーブルやデータセンターが新たな標的となるサイバー空間の脅威まで、国際金融のプロフェッショナルが見るリスクの本質に迫ります。
■□ハイライト □■
国際機関MIGAの役割: 民間の保険ではカバーしきれない政治リスクに対し、世界銀行グループの一員であるMIGAが果たすユニークな役割に迫ります 。単なる保険金の支払いにとどまらず、政府との対話を促し、長期的な関係を構築することで投資家と投資先の国、双方の利益を守るメカニズムを語ります 。
サイバー空間がもたらす新たな脅威: 従来の港湾や空港に加え、海底ケーブルやデータセンターといったインフラが、物理的な破壊やテロの新たなターゲットになっています 。地球の裏側からでも攻撃可能なサイバーリスクが、新興国のインフラファイナンスに与える具体的な影響を考察します 。
エネルギーインフラと国家の依存リスク: 電力やガスを隣国と融通し合う「パワープール」や「ガスパイプライン」は、効率的である一方、政治的な関係が悪化した際に安定供給を脅かす「依存」というリスクを内包します。LNGのように多様な調達先を持つことの戦略的な重要性を、地政学的な視点から解き明かします 。
<ゲスト・プロフィール>
林田 修一(はやしだ・しゅういち)さん
世界銀行グループ・多数国間投資保証機関(MIGA)東アジア太平洋地域代表としてシンガポールに駐在。これまで、海外のエネルギー・インフラ分野のプロジェクトファイナンス、アジアの金融機関の買収、アフリカの途上国向け政治リスク保険などを担当。以前は日本のメガバンクで投資銀行業務に従事。米国公認会計士、証券アナリスト、英国仲裁人協会会員(MCIArb)。
■□ 収録後記 □■
収録を終え、新興国への投資リスクというテーマが、サイバー空間の広がりによって、かつてないほど複雑で多層的なものになっていることを痛感しました。
林田さんのお話から見えてきたのは、クーデターや紛争といった従来の「わかりやすい」リスクに加え、目に見えないところで国家の生命線を脅かす新たな脅威の存在です。特に、海底ケーブルやデータセンターが物理的な破壊の対象となり得るという指摘は、デジタルインフラの脆弱性を浮き彫りにしました 。これは、インフラファイナンスの世界と我々が取り組むサイバーセキュリティが、もはや不可分であることを示唆しています。
また、印象的だったのは、経済合理性や机上の分析だけでは測れない政治的要素の重要性です。国のリーダーがそのプロジェクトをどれだけ重要視し、本気で守ろうとしているか。この極めて人間的な要素が、最終的なリスクを左右するというお話は、グローバルビジネスに関わる全ての人にとって示唆に富むものだったのではないでしょうか。
一見すると遠い世界の話に聞こえるかもしれませんが、エネルギーやデータの依存リスク、サプライチェーンの脆弱性といったテーマは、そのまま日本が抱える課題にも繋がります。今回の放送が、皆様にとって、国際情勢のリアルな力学と、それに備えるための視座を得る一助となれば幸いです。
(ホスト:JCGR 川端隆史) -
「ロシアはランサムウェア攻撃グループと密約を結び、中国は大学でサイバー攻撃を教え、アメリカは天才ハッカーを司法取引でリクルートする」—。これはSF映画の話ではありません。日本の「能動的サイバー防御」を議論する上で、避けては通れない世界の現実です。
前回に引き続き、ホワイトハット(ホワイトハッカー)として著名な東京大学先端科学技術研究センター客員研究員の西尾素己さんをゲストにお招きしたセミナーの模様をお届けします。今回は、西尾氏とJCGR川端との対談パートです。
日本の常識を揺るがす海外のサイバー戦の実態から、企業が明日から実践できる具体的な防衛策まで、さらに深く掘り下げます。「セキュリティ対策に多額の投資をしているのに、なぜか不安が拭えない」—。その答えは、意外にも「ガバナンス」という基本にありました。
前編の講演パートは下記からアクセス
Spotify | Apple
JCGR Podcast ホームページ■□ 収録後記 □■
西尾さんとの対談を終え、日本の「常識」がいかに世界の「非常識」であるかを突きつけられ、一種のめまいにも似た感覚を覚えました。ロシアがランサムウェア集団と手を組み、中国が国策としてハッカーを量産する。そんなSFのような話が、ビジネスの裏側で厳然として存在する事実に、改めて襟を正す思いです。
その上で西尾さんが繰り返し訴えられていたのは、「高価なセキュリティ製品を買う前に、まずガバナンスを整備すべき」という、極めてシンプルかつ本質的なメッセージでした。安易なSaaS選びや管理の甘さが原因で、情報漏洩のリスクを高め、さらには内部不正が起きても法的に戦うことすらできない。この現実は、多くの企業にとって耳の痛い話でしょう。
対談中に語られた「セキュリティ担当役員になったがために、人生を狂わされた役員」のエピソードは、他人事ではありません。セキュリティをコストとしか見なさない経営陣の下では、誰もがその役を押し付けられ、いつか破綻する時限爆弾を抱えることになります。
今回の対談は、セキュリティ対策の前提を根底から見直し、真に守るべきものは何かを考える、全てのビジネスパーソンにとっての必修科目だと確信しています。
<ゲスト・プロフィール>
西尾 素己(にしお・もとき)さん東京大学 先端科学技術研究センター 客員研究員
幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を学ぶ。2社のITベンチャー企業で新規事業立ち上げを行った後、国内セキュリティベンダーでAndroidアプリから官公庁の基幹システムまで幅広い領域への脅威分析と、未知の攻撃手法やそれらに対応する防衛手法の双方についての基礎技術研究に従事。2016年11月よりコンサルティングファームに参画。2017年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任。
(ホスト:JCGR 川端隆史)
-
5月16日に成立した「能動的サイバー防御(ACD)」法。これは、政府がサイバー攻撃の兆候を事前に察知し、攻撃者を無力化することを可能にするという法律です。しかし、その実態と企業への影響は、まだ広く理解されていません。攻撃者を「ハッキングし返す」ことも辞さないこの法律は、会社のセキュリティ体制にも、これまでにない形で影響を及ぼす可能性があります。
今回は、東京大学先端科学技術センター客員研究員で著名なサイバーセキュリティの専門家である西尾素己さんをゲストにお招きし、このACD法のポイントと、企業が直面する新たなリスクについて解説したJCGRセミナーの模様をお届けします。政府が想定するサイバー攻撃と現実の間にあるギャップとは? そして、なぜSaaSの不適切な管理が、自社を意図せず国のサイバー防衛の「標的」にしてしまう可能性があるのか? 専門家の視点から、その核心に迫ります。
<ゲスト・プロフィール>
西尾 素己(にしお・もとき)さん東京大学 先端科学技術研究センター 客員研究員
幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を学ぶ。2社のITベンチャー企業で新規事業立ち上げを行った後、国内セキュリティベンダーでAndroidアプリから官公庁の基幹システムまで幅広い領域への脅威分析と、未知の攻撃手法やそれらに対応する防衛手法の双方についての基礎技術研究に従事。2016年11月よりコンサルティングファームに参画。2017年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任。
■□ 収録後記 □■
西尾さんのお話を伺い、能動的サイバー防御(ACD)法を背景に、私たち企業側の意識を根本から変えなければならないと痛感しました。これまでのセキュリティ対策は、自社を守るためのものでした。しかしACD法の登場により、自社のセキュリティ不備が「国の資産を危険に晒した」と見なされ、糾弾されかねない時代に突入したのです。レピュテーションを大きく損なうリスクがあるという指摘は、非常に重く響きました。
そして、その対策の核心が、意外にも身近な「SaaS管理」にあるという事実は、多くの情報システム担当者にとって光明であると同時に、新たな責務の重さを示すものでしょう。従業員が何気なく使っているSaaSの公開設定ミスが、国の安全保障を揺るがすインシデントの起点になることすらあります。こうした視点を理解し、自社のSaaS利用を可視化・統制することが、今、最も費用対効果の高い「国防」なのかもしれません。
ACD法は、リスクであると同時に、日本のサイバーセキュリティ能力を民間から底上げする好機でもあります。西尾さんのお話は、その両側面を冷静に見据え、私たちが今何をすべきかを指し示してくれる、大変示唆に富む内容でした。
(ホスト:JCGR 川端隆史)
- Daha fazla göster
