ホワイトハッカー西尾素己氏が語る「情シスは“最前線”。能動的サイバー防御とSaaS管理の重要性」

Show Notes

5月16日に成立した「能動的サイバー防御（ACD）」法。これは、政府がサイバー攻撃の兆候を事前に察知し、攻撃者を無力化することを可能にするという法律です。しかし、その実態と企業への影響は、まだ広く理解されていません。攻撃者を「ハッキングし返す」ことも辞さないこの法律は、会社のセキュリティ体制にも、これまでにない形で影響を及ぼす可能性があります。

今回は、東京大学先端科学技術センター客員研究員で著名なサイバーセキュリティの専門家である西尾素己さんをゲストにお招きし、このACD法のポイントと、企業が直面する新たなリスクについて解説したJCGRセミナーの模様をお届けします。政府が想定するサイバー攻撃と現実の間にあるギャップとは？ そして、なぜSaaSの不適切な管理が、自社を意図せず国のサイバー防衛の「標的」にしてしまう可能性があるのか？ 専門家の視点から、その核心に迫ります。

＜ゲスト・プロフィール＞
西尾 素己（にしお・もとき）さん

東京大学 先端科学技術研究センター 客員研究員

幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を学ぶ。2社のITベンチャー企業で新規事業立ち上げを行った後、国内セキュリティベンダーでAndroidアプリから官公庁の基幹システムまで幅広い領域への脅威分析と、未知の攻撃手法やそれらに対応する防衛手法の双方についての基礎技術研究に従事。2016年11月よりコンサルティングファームに参画。2017年にサイバーセキュリティの視点から国際動向を分析するYoung Leaderとして米シンクタンクに着任。

■□ 収録後記 □■
西尾さんのお話を伺い、能動的サイバー防御（ACD）法を背景に、私たち企業側の意識を根本から変えなければならないと痛感しました。

これまでのセキュリティ対策は、自社を守るためのものでした。しかしACD法の登場により、自社のセキュリティ不備が「国の資産を危険に晒した」と見なされ、糾弾されかねない時代に突入したのです。レピュテーションを大きく損なうリスクがあるという指摘は、非常に重く響きました。

そして、その対策の核心が、意外にも身近な「SaaS管理」にあるという事実は、多くの情報システム担当者にとって光明であると同時に、新たな責務の重さを示すものでしょう。従業員が何気なく使っているSaaSの公開設定ミスが、国の安全保障を揺るがすインシデントの起点になることすらあります。こうした視点を理解し、自社のSaaS利用を可視化・統制することが、今、最も費用対効果の高い「国防」なのかもしれません。

ACD法は、リスクであると同時に、日本のサイバーセキュリティ能力を民間から底上げする好機でもあります。西尾さんのお話は、その両側面を冷静に見据え、私たちが今何をすべきかを指し示してくれる、大変示唆に富む内容でした。

（ホスト：JCGR 川端隆史）