相対性理論の生みの親として知られる科学者・アインシュタインはかつて、
I made one great mistake in my life.
(私は人生において、ひとつのあまりにも大きな過ちをおかしてしまった)
と語り、日本に対して使用された原子爆弾の開発に携わった過去を悔やんでいたと言われています。
(様々な議論があるものの)アインシュタイン自身はこの原爆開発が「一般市民を大量殺傷する結果につながるとは考えていなかった」とされていますが、本来は人々の生活を豊かにするために開発された技術が戦いのために用いられるという状況は、現在のロシア・ウクライナ間の戦争にも通じます。
前回の記事『IT人材が戦争を指導する時代』では、ウクライナの情報戦を指揮する中心的人物として、軍のサイバー部隊出身ではなく元民間IT企業の創業者であったミハイル・フェドロフ副首相について取り上げました。
執筆当時の筆者自身の配慮不足により、扇情的なタイトルや見出しが、戦争の先頭に立つIT人材の活躍を華々しく持ち上げるような印象を与えかねない表現となってしまったかもしれません。
が、本来の意図は「先端的な知識を持つIT人材が、好むと好まざるとに関わらず戦争の成り行きに深く関わらざるを得ない状況に立たされている」現状について解説することを意図していました。
今回の記事では、双方の人命が失われる戦争を題材とするにあたり、勇ましさを強調するような記述を控えながらも、ロシア・ウクライナ間の戦争から我々日本人が学ぶべき「サイバー空間上の戦いにおける教訓」について見ていきたいと思います。
“人数が多い”が有利なサイバー戦
今回のウクライナ・ロシア間の戦争をきっかけに、戦場としてのサイバー空間の重要性が強く認識されるようになっていますが、実は今回の戦争が始まるよりかなり前から、米国防総省はサイバー空間を陸・海・空・宇宙に並ぶ“The Fifth Domain(第五の領域)”と指定し、軍としてサイバー戦に備えた能力を備えるべきことを明言しています。
ところで、一般的にサイバー戦というと、「高度なスキルを持ったハッカー同士が、素人目には何をやっているのか理解できないような攻防を繰り広げる」というような印象がありますが、必ずしもそうとは限りません。
実際には、「一部の高度なスキルを持ったハッカーと、その他大勢の補助的な人員が一体になって行うもの」という様相になっています。
この「補助的な人員」というのは、高度な技能を身に付けるために訓練を長期的に受けたハッカーとは異なり、比較的短期間の訓練だけを施された人員です。
最低限の訓練だけを施されたインスタントな人材でも、数が揃えばサイバー戦の攻防を行う上で威力を発揮します。
例えば、サイバー攻撃の中でも代表的な手法として「DDoS攻撃」というものがあります。このDDos攻撃は、標的とするサーバーやネットワークに対して複数のコンピュータから大量のデータを送りつけてダウンさせることを狙う攻撃手法ですが、まさに「単純な方法での攻撃を大人数で行う」という側面が強くなっています。
サイバー空間での攻防は、少数精鋭のハッカー同士が忍者のように隠密裡に攻防を行うようにイメージされがちですが(もちろんこういったケースもあるのですが)、一方で大人数がぞろぞろと集まって攻撃し合うことが珍しくありません。
この事実に関して、テレビ東京の報道記者でロンドン支局長・モスクワ支局長を勤めた経験のある豊島晋作氏が著書『ウクライナ戦争は世界をどう変えたか 「独裁者の論理」と試される「日本の論理」』の中で、サイバーセキュリティの専門家である足立照嘉氏から得た情報に基づいて以下のように語っています。
サイバー攻撃の能力は、時折言われるように一人の天才的なハッカーの能力に負うものではなくAIなどで自動化されているものでもない。実は、大量のマンパワーを動員する人海戦術の側面もまだ強いのだという。その点、中国は人的リソースが質量ともに豊富だ。
また、厳密に言えばサイバー戦という括りではありませんが、広く“情報戦”という範囲で見れば、ウクライナにおいては一般市民が自宅の近くにいるロシア軍部隊の位置情報などの重要情報について、スマホなどを使ってウクライナ軍へ共有する様子が伝えられています。
市民によるウクライナ軍への情報提供などの協力について、ワシントンに本部を置く戦略国際問題研究所(CSIS)のレポート『Cybar War and Ukraine』にも以下のように記されています。
Ukrainian civilian efforts to provide intelligence on Russian forces, while dependent on networks, are not exactly “cyber” efforts, but they provided real benefit to defenders.
(ウクライナ市民によるロシア軍関連の情報提供の取り組みは、ネットワークを利用するものの厳密には“サイバー戦”にはあたらないが、防衛側にとって実益をもたらすものである)
このような一般のウクライナ市民の協力活動もまた、(高度なインテリジェンスを持つ少数のプロだけでなく)大人数の素人が情報戦に貢献している例と言えるでしょう。
“即席の人材”の必要性
今回のウクライナでの戦争に代表されるような国家同士のサイバー戦に限らず、一般企業のサイバーセキュリティも「高度な知識を持った少数のプロフェッショナルだけではなく、ごく短時間の訓練を受けた人材が少しでも多く参加してくれるほうが有り難い」というのが実情です。
日本国内では深刻な不足状態にあるサイバーセキュリティ人材を確保するための取り組みはさまざまな機関によって実施されています。
たとえば、サイバーセキュリティに関する社会人教育を提供するProSecでは、大阪大学などの7つの大学院と連携しつつ短期集中のプログラムを提供していますが、このProSecが提供する「クイックコース」は30〜60時間という短期間のカリキュラムで、受講者に新しいサイバー攻撃への対応スキルを身につけてもらうことを目指しています。
サイバーセキュリティ人材というと、一般的には数年単位のまとまった期間の訓練を積んだ人材がイメージされることが多いですが、ここで挙げたProSecのクイックコースのような「100時間に満たない短時間の訓練」であっても、「最低限の対応力を備えたサイバーセキュリティ人材」として一定の戦力となりうるというのは意外な事実ではないでしょうか。
“傷つけずに無力化できる戦力”
記事冒頭で触れた核兵器のような抑止力と異なり、サイバー戦の能力を備えることには、「直接的に生身の相手を傷つけずして相手を無力化しうる」という意義があります。
アインシュタインと同時代の物理学者たちが「自分たちが開発に関わった兵器が多くの人命を奪う結果につながってしまった」ことに胸を痛めたことに比べれば、サイバー戦に関わる人材は「人間を傷つけることへの葛藤」に悩む必要はないでしょう。
日本としての安全保障はもちろんのこと、企業をめぐるサイバーセキュリティの分野においても可能な限り多くの人材が参加することが望まれます。
(繰り返しになってしまいますが)長期間の訓練を受けたプロフェッショナルの専門人材ももちろん必要である一方で、「本業は他にあるけれどサイバーセキュリティについても少し知見がある人材」を増やしていくことが必要です。
また、サイバーセキュリティについて学んだ人材が全員「積極的にサイバー戦へ参加できるだけの実力」を身に付ける必要があるわけでもありません。
たとえば「その人自身が企業の情報窃取などを狙ったウイルスメールなどを開いてしまって、サイバーセキュリティ上の弱点となってしまう」というような事態を防げるというだけでも、「たくさんの“素人”にサイバーセキュリティについての知識を学んでもらう」ことには意義があるのです。
もしサイバーセキュリティの分野にご興味があれば、記事中でもご紹介したように、未経験の社会人でも一から学べるコースを提供している機関もありますので、この機会にサイバー人材への第一歩を踏み出してみてはいかがでしょうか。