オフェンシブサイバーセキュリティの現在と未来を探る

サイバー脅威がますます巧妙化する中、攻撃者の一手先を行く「オフェンシブセキュリティ」への注目が高まっています。本セッションでは、進化を続けるサイバーセキュリティの現状を踏まえ、先進的な脅威に立ち向かうために必要な戦略や対策を検討します。攻撃者の視点でシステムを実際に検証し、AI時代に必要な批判的思考力を備え、日本企業が築いてきた資産を確実に守るための具体的なアプローチと現場での実践知を探りました。

登壇者

OffSec
CEO（Chief Executive Officer：最高経営責任者）
Ning Wang（ニン・ワン）氏

Australian Government
CISO （Chief information security officer：最高情報セキュリティ責任者）
Carsten Boeving（カーステン・ベーヴィング）氏

PwCコンサルティング合同会社
シニアマネージャー
Barry O'Callaghan（バリー・オキャラハン）

攻撃者視点で守る、新しいセキュリティ戦略

オキャラハン：
最初に自己紹介をお願いします。これまでの経歴や現在の役割、そしてオフェンシブセキュリティにどのように関わってきたか教えてください。

ワン氏：
Offensive Security（以下、OffSec）でCEOを務めていますワンです。OffSecは世界中の企業や政府機関に対し、サイバーセキュリティトレーニングを提供しています。OffSecの特徴は、常に「攻撃者の視点」から実践的な手法を採用している点です。特に、ペネトレーションテストのグローバル認定資格の運営で知られており、世界中のセキュリティ専門職が取得を目指しています。また、サイバーセキュリティ従事者に広く使用されているペネトレーションテスト用ツール開発元でもあります。

ベーヴィング氏：
私はオーストラリア州政府のCISOとして、州政府全体のITインフラを担当しています。私の使命は州政府のITシステムを安全に保つことであり、そのためにオフェンシブセキュリティは欠かせません。これによってITソリューションの安全性を実際に検証し、セキュリティ対策が本当に機能するかを事前に確認できます。突然攻撃を受けて慌てふためくという最悪の事態を防げるのです。

オキャラハン：
ありがとうございます。では本日の本題であるオフェンシブセキュリティの現状について伺います。ワンさん、まずオフェンシブセキュリティとは何か、そして従来のセキュリティ対策とどう違うのかを説明していただけますか。

ワン氏：
オフェンシブセキュリティとは、常に「どのように攻撃されるか」という視点で考えるアプローチです。システムの安全性や防御方法を検討し、その有効性を確認するには、「攻撃者の手法を理解する」ことが出発点になります。これがサイバーセキュリティにおけるオフェンシブセキュリティの本質です。

従来のサイバーセキュリティは「チェックボックス」的な考え方が中心で、コンプライアンス要件を満たすことに重きが置かれていました。「この対策は済んだか、チェック」「あの要件を満たしたか、チェック」という具合です。しかし、現在はそれだけでは不十分で、必要なのは、自社のシステムやウェブサイト、ネットワークに対して「どのような攻撃が行われる可能性があるか」を詳細に検証することです。

具体的には、適切な許可を得た上でセキュリティ専門家と協力し、実際に攻撃を試みることで、悪意ある攻撃者に先んじて脆弱性を見つけ、対処します。これが、今求められているオフェンシブセキュリティのアプローチです。

オキャラハン：
次にベーヴィングさんにお聞きします。オーストラリア政府機関での具体的な役割を教えてください。オフェンシブセキュリティは組織全体のサイバーセキュリティ戦略の中でどのように活用され、どのような位置付けにあるのでしょうか。

ベーヴィング氏：
州政府のITプロバイダーとして、私たちには2つの責任があります。1つは運用中のインフラの安全確保、もう1つは私たちのインフラを利用する保健省、交通省、財務省など、他の政府部門が有するITシステムの確実な保護です。これらの部門は、私たちのITシステムが安全で、攻撃者から守ってくれると信頼して業務を委ねています。

私が公的部門に入った当初、州政府の重要な情報資産を守れるインフラであることを証明し、市民からの信頼を獲得することが大きな課題でした。そこでオフェンシブセキュリティの手法を活用し、導入したセキュリティ対策が実際に機能するという根拠を示すことで、その信頼を得ることができました。

具体的には、ベンダーの「このツールで保護できます」という説明だけでは不十分と考え、レッドチーム演習やペネトレーションテストを実施しました。こうした取り組みにより、私たちのサイバーセキュリティ対策が実際に効果を発揮し、州政府を保護していることを証明したのです。

現在、私たちはオフェンシブセキュリティを2つの目的で活用しています。1つはサイバーセキュリティ能力の継続的強化、もう1つは政府関係者に対し「私たちのサービスは実際に安全である」という確かな証拠の提示です。

オフェンシブセキュリティがもたらす具体的効果

オキャラハン：
ワンさんにお伺いします。オフェンシブセキュリティの主な利点は何でしょうか。また、日本の組織にとってどのような恩恵があるとお考えですか。

ワン氏：
この質問は、いくつかの側面から考える必要があります。ベーヴィングさんも指摘したように、第三者から「あなたのシステムは安全です」と言われるだけでは不十分です。本当に安全かどうかを確かめる唯一の方法は、実際にテストを行うこと。つまり、オフェンシブセキュリティテストやペネトレーションテストを実施することです。

分かりやすい例を挙げましょう。私たちが健康診断を受けるとき、医師は「健康ですか？」と尋ねるだけでは終わりませんよね。血液検査や運動負荷テストなどさまざまな検査を実施し、データを集めます。そして、そのデータに基づいてどこに問題があるかを診断し、予防策や治療法を提案します。

サイバーセキュリティも同じです。ペネトレーションテストやレッドチーム演習という「検査」によって客観的なデータを収集し、脆弱性がどこにあるか、どこは安全かを把握します。その上で、発見した問題に対する具体的な対策を講じるのです。

これは世界標準の手法です。日本が世界経済において重要な立場にあることを考えると、公共部門、政府、民間企業全てがペネトレーションテストを積極的に取り入れ、攻撃者の視点でシステムの安全性を評価することが不可欠です。このアプローチこそが、グローバルビジネスを安全に展開する土台となります。

オキャラハン：
次にベーヴィングさんに伺います。政府組織でオフェンシブセキュリティを実際に導入・実践されてきた経験について、その効果やアプローチの特徴を教えてください。

ベーヴィング氏：
オフェンシブセキュリティを導入したことには多くの利点がありました。最大の成果は、エビデンスに基づくセキュリティ改善プログラムを構築できた点です。従来の理論的モデルに頼るのではなく、ペネトレーションテストやレッドチーム演習を通じて得た実践的な結果を、セキュリティ強化や優先順位付けに活用しています。

こうしたアプローチを取る理由は、長年の経験で得た重要な気付きがあるからです。民間・公共を問わず、サイバーセキュリティ専門家が望む全ての対策を実施するには、投入できるリソースに限りがあります。そのため、最も価値の高い資産や、想定外の脅威にさらされるリスクが高い資産を優先的に保護することが重要です。

ここで大切なのは、システムに脆弱性があることと、実際に攻撃を受ける可能性が高いことは別だという点です。脆弱性が存在しても、必ずしも資産が危険にさらされているとは言えません。だからこそ、リスクの度合いを正確に特定する必要があるのです。

私たちは実際にテストを行い、環境内の多くの脆弱性の中から、今すぐ修復すべきものを特定します。従来は推測に頼らざるを得なかった部分を、客観的根拠に基づいて判断できるようになったことが、オフェンシブセキュリティの大きな強みです。つまり、推測による意思決定を、エビデンスに基づく意思決定へと変えることができたのです。

重要なのは「批判的思考」と「創造的問題解決能力」

オキャラハン：
次にオフェンシブセキュリティの将来について伺います。ワンさん、現在の状況を踏まえて、この分野がどう発展していくとお考えですか。また、日本企業を含む各組織が直面する固有の課題に対処するために、サイバーセキュリティの専門家にはどのようなスキルが重要になるでしょうか。

ワン氏：
私が考える最も重要なスキルは、批判的思考（クリティカルシンキング）と、創造的（クリエイティブ）な問題解決能力です。

AIが普及した時代では攻撃がより巧妙になっており、フィッシング攻撃も格段に精巧になっています。従来のような「言葉づかいが不自然」といった文法的な間違いで見分けることは難しく、受信者の状況や関係性に応じた説得力のある内容になっているのです。

そのため、遭遇するあらゆる状況で「これは本物か偽物か」を適切に判断できることが極めて重要です。

先述の例のとおり、サイバーセキュリティは病気の診断に似ています。頭痛の原因が常に同じとは限りません。単なる風邪であれば心配いりませんが、脳腫瘍が原因なら深刻です。

サイバーセキュリティも同様に、同じ種類の攻撃でもシステムによって現れ方が異なります。例えば同じSQLインジェクションでも、システムごとに表出の仕方が異なります。目の前の事象が深刻な危機なのか、それとも危機にはならないのかを正確に評価できるかどうか――。それが批判的思考と問題解決能力の本質です。そしてこれを、プレッシャーの中で限られた時間内に行わなければなりません。ベーヴィングさんが指摘されたように、完璧に仕事をこなせるだけの十分な時間は決して与えられません。それが私たちの現実です。

最も大切なのは、どのような問題に直面しても解決できるよう、批判的に考える力と探究心を備えた人材を育てることです。AI時代では技術の進歩が非常に速く、これまで見たことのない新しい脅威に遭遇しますが、それでも解決しなければなりません。

これは日本企業を含む全ての組織にとって必要なスキルです。批判的思考者であり、問題解決者である人材を重視すべきです。サイバーセキュリティは今後、こうした人材をこれまで以上に必要とするでしょう。

日本企業が持つべき危機管理と備え

オキャラハン：
ベーヴィングさんに伺います。ワンさんが言及されたように、日本企業が高度な脅威に対抗するために、オフェンシブセキュリティをどのように活用すべきだとお考えですか。また、その際に特に重視すべきポイントを教えてください。

ベーヴィング氏：
将来的にサイバーインシデントの深刻度は増すと考えています。件数自体は大きく増えないかもしれませんが、一つひとつの影響は確実に大きくなるでしょう。

こうした高度な攻撃に備えるには、早期検出と迅速な対応が欠かせません。IT部門とサイバーセキュリティチームが中心となり、組織に被害が及ぶ前に攻撃を見つけ、対処する必要があります。そのためには、組織全体のスキルを飛躍的に高めることが重要です。大量のノイズの中から実際の侵害兆候を見抜き、何をすべきか正しく判断できる力が求められます。これこそが、サイバーセキュリティの真の課題です。

理想は深刻な危機が発生しないことですが、現実には数年に一度は重大インシデントが起こる可能性は免れません。何年も何もしないで待っていれば、いざという時に対応できる実践力を失ってしまうでしょう。だからこそ、日常の小さなインシデント対応を続ける一方で、重大な危機への備えも維持しなければなりません。

そこで私たちは、スタッフのスキルを磨き、インシデントへの準備を整えるために、オフェンシブセキュリティの手法を積極的に活用しています。適切な準備があれば、インシデントが起きても迅速に対応できます。そうすれば、被害は最小限に抑えられます。例えるなら風邪をひいても薬を服用し、2日間で治せる程度にできるのです。

しかし、準備不足で間違った対応をすれば、組織に深刻な損害をもたらすリスクがあります。私たちが伝えたいのは、「危機そのものより、危機管理の失敗が組織に大きな悪影響を与える。適切に管理するためには、事前の準備が不可欠だ」ということです。

日本経済、日本企業は長年築き上げた資産を大切にする傾向があります。スタートアップのようにゼロから作り直すのではなく、蓄積した価値を守りたいと考えるのです。だからこそ、これまで築いた価値を守るには、検出能力と対応能力を継続的に高めるしかありません。そのためには自社の能力をテストし、実践的訓練を重ねる必要があります。実際に攻撃を受けてからではなく、オフェンシブセキュリティの専門家に友好的に攻撃してもらい、事前に弱点を発見することが重要です。

オキャラハン：
オフェンシブセキュリティが組織の安全確保において今後ますます重要な技術になるという点に私も同感です。お二人とも本日は貴重なお時間をいただき、ありがとうございました。