2025 年 2 月 18 日、第 1 回開催となるイベント「サイバーレジリエンスアワード2025」が新宿ヒルトンで開催される。
主催が大手オンラインメディアだが、本アワードは社団法人格を持つ組織、一般社団法人サイバーセキュリティ連盟によって企画・運営されており、定期開催されることになったなら、日本のサイバーセキュリティに大きなインパクトを与えるポテンシャルを持つだろう。
サイバーレジリエンスアワードは、不正アクセスやランサムウェア攻撃などのサイバー攻撃を受けた企業や団体に関して、検知あるいは発覚時点での第 1 報や、フォレンジック調査が進行あるいは完了した段階での 2 報 3 報、そして全体概要や時系列での経緯の整理、そして攻撃の原因となった脆弱性や管理体制の特定、最後にそれを踏まえた今後の対策強化の具体案などを記した最終報に至るまで、インシデント発生に伴う一連の社会への「情報共有プロセス」に着目して評価を行い、今後第 2 第 3 の同様の攻撃や被害の発生を減らすために大きく寄与したと判断される情報共有行為自体と、企業・組織としての事業継続、信頼回復に関するアクションの公表に対して賞を贈るものだ。
現時点では、ノミネートされた企業団体や、贈賞対象となる組織は公開されていない。
当誌 ScanNetSecurity は 1 月、Okta Japan株式会社のリージョナル CISO 板倉景子氏のインタビュー記事を配信したが、この記事の最も重要な点は、Okta が過去 2 度のセキュリティ侵害を経験したことを臆さず隠さず明瞭な言葉で積極的に認めたことだ。その上で、現在実施している組織的かつ業界横断的な新しいセキュリティの取り組みを詳細に語った。
こうして書くと「はい そうですか」と聞いてしまう人もいるかもしれないので書いておくと、このような試みはものすごく珍しい。
2010 年代前半頃、記者は川崎にある、とあるセキュリティベンダーを訪問して打ち合わせをし、後日何かの企画を提案するという手はずになったのだが、ちょうど時を同じくしてそのベンダーでブリーチ(権限のない人が情報にアクセスできる状態になってしまうこと)が発生していたというプレスリリースが出たので、それを ScanNetSecurity ですぐにウッキウキで記事にしたところ、それを境にそのベンダーにメールを送ってもまったく返事が返ってこなくなった。ちなみに川崎のセキュリティベンダーといっても JP Secure のことではないので念のため。
ブリーチですらこの有様なのだから、とにかくそのぐらい日本企業にとってセキュリティ侵害はデリケートな問題なのであり、だからこそ 2022 年春の Security Days Spring 2022 で、NTTコミュニケーションズの小山覚氏が自社で発生したインシデントを自ら解説するという勇気ある講演を行うことを知ったときは、目の前が明るくなるような気がして、抱かれたいと思うほど小山氏がかっこよく見え、インタビューの結果、熱量のある記事を書いてしまった。
未来を変える試み「サイバーレジリエンスアワード2025」を企画したのは、一般社団法人サイバーセキュリティ連盟 事務局長 西澤将人氏。電動シェーバーを几帳面にあてたであろう髭の剃り跡が青々しいこんなまだ 20 代か 30 代そこらの若者のどこに、そんなエネルギーがあったのか。
西澤氏は、様々なオンライン媒体でここ 2 ~ 3 年で発生あるいは公表されたセキュリティインシデントを 約400 件集めてリスト化し、1 社 1 社おのれの携帯電話から電話したという。
いやいや。とはいえ Z 世代の若者は「電話をかける」というアポを事前に取ってから電話するような繊細な世代である。だからほとんどの架電はプロフェッショナルのコールセンターに依頼したに違いないと思ったが、インタビューの中で西澤氏はこんなことを口にした。
「こうした賞を受賞することは少なくとも現時点では相手の企業や組織にとってメリットが見えづらいので、そこを動かすとしたら、感情的なものもきっと含まれてくると考えました。だから外注してしまったら熱意は減衰すると考え、すべて私 1 人で行いました(西澤氏)」
とはいえサイバー攻撃を受けて害を被った企業 400 社に直電とは。誰しも考えるのはこの疑問である。すなわち「架電していくうちに 110 番はされなかったのか」だ。直球すぎる質問だが、むしろこの若者にはこのぐらいストレートに聞くことこそが正しい向き合い方であり礼儀に思えた。
いまから四半世紀前の 2000 年代前半、当時の ScanNetSecurity 編集部では西澤氏とほぼ同様の企画を立てたことがある。すなわちセキュリティ侵害を経験した企業や組織に対して、その対応やそこから得た学びについて、肯定的な文脈で取材するという企画である。初代編集長の原隆志の発案だった。成功事例よりも失敗事例の方が圧倒的に再現性が高い。すなわち社会にとって有益な情報となり、同様の事案の発生が減る可能性が高い。
しかし、そこで編集長に命じられて架電した可哀想な編集部員たちが繰り返し耳にすることになったのが「警察呼ぶぞ」であり「110 番するぞ」であった。
「盛るな」と言われそうだが、去年か一昨年の MBSD Cybersecurity Challenges の幕間の講演で MBSD の神吉敏雄氏が、いまでこそ脆弱性報奨金制度などというものが存在するが以前はまったく違っていて、例としてマイクロソフトだったかに Windows の脆弱性を親切に報告したセキュリティエンジニアが告訴されそうになったというエピソードを紹介していた。だから「警察呼ぶぞ」「110 番するぞ」と通告されることが本当にあったことを理解いただきたい。
西澤氏が 110 番されなかったのには理由があった。それは西澤氏の放つ天性の明るさとポジティブなエネルギーである。
本誌が行ったインタビューの中でロールプレイ的に、記者が被害に遭った企業の担当者となることで掴んだ、西澤氏の電話での「演説」( “スクリプト” などというコールセンター的術語ではなくこう言った方がいいと思う)の模様を下記に再録したい。
このたび御社のインシデントのプレスリリース等々を拝見してご連絡差し上げました。我々は一般社団法人サイバーセキュリティ連盟と申しまして、サイバーセキュリティに関する啓発アクションを展開しており、御社のインシデントに関する情報公開の取り組みをサイバーレジリエンスアワードというイベントで表彰させていただけないかと思っています。
(ここで “インシデントを起こしてしまったのだから表彰されるなんてとんでもない” みたいなことを返されることがありますが、そのときは次のように説明します)
我々はそんな世の中が間違っていると思っています。おっしゃる通りサイバーセキュリティに関して不備やできていなかったことはあったかもしれません。しかし、本質的に悪いのはサイバー攻撃をしかけてくる者であって、日本という国全体で考えたときにサイバー攻撃を受け、そこで得られた知見を社会の共有知にしていくことが経験者としての責務であり、謝罪しひっそりと息を潜めて忘れ去られるのを待つだけになりがちないまの状況を変えなければ、社会全体としての学びがなく、もしかしたら防げたかもしれない次の被害者も生んでしまって、結局我々はやられっぱなしになってしまいます。
事前の対策をやれていなかったところはあるかもしれないけれど、今後対策していけばいいだけですし、重ね重ね本質的に悪いのはサイバー攻撃した側なのですから、攻撃を受けてわかったこと、学んだことを世の中に展開することによって他者を守ることが社会に対してやるべきことであり、経験者として唯一胸を張れることだと考えています。
とにかくあなたは悪くない。そして、そう思われるような世の中にしていきたい。そんな世界にしようと思っているサイバーレジリエンスアワードという話に是非とも乗っていただけないでしょうか?
もはや大統領就任演説である。「メイク・サイバーレジリエンス・グレイト・アゲイン」何ともポジティブな説得だ。これはもはや記者が大好きなキング牧師の『フリー・アット・ラスト・スピーチ』の足元の足元の足元くらいにはおよびかねないパワーのある言葉だった。
「サイバーレジリエンスアワード2025」の公式サイトには「称賛」という言葉が出てくる。二度も。何か多幸感すら漂うヤバさだ。
賭けてもいい。国内外のセキュリティ企業の公式サイト、IPA、JPCERT/CC、NIST、NISC、そしてセキュリティニュースを取り扱うメディア等々に掲載された全ての言葉を抽出して形態素解析しても、セキュリティインシデントの文脈で「称賛」という言葉が使われたのはおそらく日本のセキュリティ史上初である。
このイベントはクオリティメディアを多数運営するアイティメディア株式会社主催であるので「オンラインメディア界のSMスナイパー」とも呼ばれる弱小ニッチ媒体である本誌が取材することは 100 %不可能である。フリーランスのふりをして会場に潜り込むことはできるかもしれないが掲載誌が ScanNetSecurity であることが明るみに出た瞬間いろいろと大変な目に遭う可能性を否定できない。
だから、この記事を読んでいる読者が自分の足で会場を訪れるか Zoom 中継を見るしかない。この歴史的瞬間を見逃さないで欲しい。こんなことを書くと、西澤氏とアイティメディアに激怒されること請け合いだが、二度目の開催があるかどうかわからないのだから。
開催概要
日時: 2025年2月18日(火)16:00~
会場:グレイドパーク新宿 または Zoom
参加費:無料
登録:https://members01.live.itmedia.co.jp/itmedia101/library/CyberResilienceAward2025
