コンサルティングファームのEY アドバイザリー・アンド・コンサルティング(EY AAC)でHead of Cyber Security Strategyを務める西尾素己氏は、20代の若きリーダーの1人だ。幼少期からセキュリティの技術に勤しみながらも技術だけでは解決し得ないさまざまな課題に直面し、ルール形成のアプローチによって日本と企業のセキュリティ環境を変えていこうとしている。同氏にその取り組みを尋ねた。
EY アドバイザリー・アンド・コンサルティング Head of Cyber Security Strategyの西尾素己氏。幼少期から世界のホワイトハットと「模擬戦」を通じてサイバーセキュリティ技術を独学で習得し、複数の新規事業の立ち上げやセキュリティベンダーでの基礎研究業務、大手検索エンジン企業での社内セキュリティ人材の育成プロジェクトやキャピタルファンドへの参画を経験し、米国系会計コンサルティングファームを経て現職。多摩大学ルール形成戦略研究所ではサイバーセキュリティ領域における国際標準化研究担当の首席研究員、米シンクタンク「Pacific Forum」ではサイバーセキュリティから国際動向を分析するYoung Leaderも務めている
--プロフィールからさまざまな経験を積まれてきたと思いますが、現在のサイバーセキュリティの仕事ではどのようなモチベーションをお持ちなのでしょうか。
新規事業の立ち上げやセキュリティベンダーでのセキュリティ技術の基礎研究、大手検索エンジン企業ではCISO(最高情報セキュリティ責任者)を補佐しながら自社のセキュリティ戦略や人材育成も手掛けました。年間200件以上の「ゼロデイ(未解決の脆弱性)」のハンティング(脅威動向の研究)活動といったこともたくさんしてきましたが、技術だけでは限界があると感じました。
例えば、セキュリティカンファレンスのような場で有益な論文を投稿しても、論文によって与えることのできる影響には限界があります。大手検索エンジン企業ではのべ1500人が参加するホワイトハッカーの育成講座を実施したり、キャピタルファンドへの技術協力、オープンソースソフトウェアの脆弱性を見つけたりして、リーディングカンパニーであった自社のセキュリティを変えることで業界自体のセキュリティを変えていけると考えていましたが、それでも限界はありました。
それなら、コンサルティングファームのように、より大きなところからこの世界を変えていける方向性を目指しました。その課程で現在の所属部門を率いる上司が手掛けているルール形成のアプローチに興味を持ちました。安全保障や経済情勢などにおいてはルールを最初に作った者が有利になりますので、世界情勢を鑑み、より戦略的で良質なルール形成をしていくことで、日本のサイバーセキュリティ政策や安全保障経済政策といった分野を変革したいと考えています。
--サイバーセキュリティが企業の経営課題の1つとして認識されるようにはなりましたが、まだ十分に浸透しているとは言い難い状況なのでしょうか。
私たちは4年間、日本のサイバーセキュリティにおけるNIST(米国立標準技術研究所)対応の必要性を訴えかけてきました。この間にセキュリティの重要性に対する認識が少しずつ浸透していると感じますが、日本企業は、個社が単独で動くのはなかなか難しい状況です。このため私たちは、政府省庁の調達規則に世界情勢を鑑みたセキュリティ対策を取り込んでルール形成をすることにより、企業が属する業界全体の動きになるように活動しています。
世界的に見て日本企業のISMS(情報セキュリティマネジメントシステム)の認証取得率は非常に高く、ルールや認証になれば多くの企業が右に倣(なら)えと、対応に動きます。特に現在の米中貿易戦争や米国国内法の越境を考えると、NIST対応は必須であり、実際に日本の政府機関の調達要件でもNISTをもとにしたセキュリティ要件が示されるようになりつつあり、今後の日本企業は対応せざるを得ない状況に追い込まれるでしょう。
--多摩大学ルール形成戦略研究所では、どのような研究を担当されているのでしょうか。
やはりサイバーセキュリティ分野が中心になりますが、安全保障寄りのテーマに取り組んでいます。近年はサプライチェーンを通じて米国など諸外国の法規制の影響が越境し、日本の企業に影響を与えています。また、これからの「ハイブリッド戦争」と呼ばれる時代には、サイバー攻撃を戦略的な軍事オプションとしてどのように扱うべきなのかについて、Pacific Forumでは同じ意識を持つ参加者たちと、活発に議論しています。
こうした場で感じるのは、日本は国際情勢や安全保障に関する意識が希薄なことです。世界では、NIST対応のクラウドをミニマムと考えられているのですが、日本にその水準の環境を提供できるITベンダーがいない現状がそれを物語っています。
