ハレル:私たちがIDF内でサイバーセキュリティ部隊を立ち上げたとき、最初にしたことはサイバー領域の重要性を組織全体に啓蒙することでした。しかも、これを実現するに当たって、IDF内の部隊に留まらず、ほかの政府機関や部署にも目的を共有する組織を設立する必要があります。
私はその後、民間企業もサイバーセキュリティ領域に参加できるようにIDFの上層部に訴えましたが、当初の反応は「IDF内で開発できる」というものでした。しかし、私は「民間企業も裾野を広げるうえで大きな力になるはずだ」と彼らを説得しました。
やはり前出の作業部会「The Cybernetic Initiative(サイバネティック法案)」に参画したときは、国家プロジェクトということもあり、より包括的な視点でサイバー防衛を考えましたし、Dell EMCに入社した後は民間企業の観点からサイバーセキュリティ・エコシステムの構築にどう寄与できるかを考えるように努めました。規制側であったり、育成側であったり、営利企業として業界全体の発展に努めるなど、さまざまな角度から関わってきたことが、業界の成長につながっているのではないでしょうか。
業界最大級のカンファレンス「Cybertech(サイバーテック)」で講演をするハレル博士 Courtesy of the Yaniv Harel
井関:一つの円環ができあがりますね。ハレルさんがイスラエルのサイバーセキュリティ業界で果たした役割が見えてきた気がします。
次にお尋ねしたいのは、ハレルさんが考えるサイバーセキュリティの性質についてです。サイバーセキュリティは「防御」の観点から生まれた言葉ですが、それは「攻撃」があるからかと。そしてイスラエルは歴史的に、“先制攻撃”なども交えた優れた防衛戦略を実現してきました。しかし、攻撃する側の思考や意図を理解できずに、もっと踏み込むと、憲法などの法規制により先制攻撃や反撃ができない国の場合、果たして専守防衛だけで“現実的な防衛”を実現できるのでしょうか?
ハレル:これは、極めて重要な問いです。まず社会として考えた場合、企業などの民間組織は、「攻撃」の領域から始めるべきではありません。さもないと、社会はもちろん、私たちの生活拠点がメチャクチャになってしまいますからね。
仮に、これをサイバーではなく、リアルな世界で考えてみましょう。例えば、銀行などの金融機関が“強盗犯になるかもしれない人々”を捕まえるために、軍事部隊をもつようになったら困りますよね。そうしたことを取り締まるためにも、「政府」の役割が大きな意味をもちます。なので、企業はまずは防衛に努めるべきでしょう。自らの組織、そしてネットワークをよく理解するべきです。一刻も早く脅威を検知する方法を身につけ、危機のときに遂行すべきビジネス上の優先順位を決めておくことです。
その一方で、攻撃側である犯罪者の取り締まりは政府がしなくてはなりません。事実、政府当局が検挙に成功するケースが増えています。米連邦捜査局(FBI)が、ランサムウェア攻撃の関係者を一網打尽にしたうえで、暗号化キーを公開しています。悪意ある攻撃を阻止するためにも、いっそう政府や警察機構間の緊密な連携が必要になります。リアルな世界でも同じように、悪意あるハッカーを捕らえるのは規制当局に任せるべきでしょう。実際、それは社会が政府に期待している役割でもあるからです。
ただ一つ言えば、これからの戦争はサイバー空間でも展開されます。ミサイルや戦車、戦闘機と同じように、サイバー兵器も大きな役割を果たすことになります。なので、その心づもりはしておくべきです。