金融ITの現場から、やがてOECD(経済協力開発機構)や国連機関といった国際舞台へとキャリアの駒を進めた蓮見氏。国際機関におけるサイバーセキュリティの現場は、民間企業のそれとは全く異なる緊張感と、文字通り「命の危険」に隣り合わせの世界だった。
「国連は平和を目指しているのに、紛争の真っただ中に行っちゃうんです。攻撃の質も違って、国家レベルの戦いによく巻き込まれました。国連のインフラは信頼されているし、さまざまな重要資料を持っているので、国家間の戦いで別の国を踏み台にする『水飲み場攻撃』に利用されやすいんです。あるいは、難民キャンプで守らなければならない人たちの命のデータが狙われる。民間企業とは守るべきものの重みが違いました」
潤沢な予算があるイメージを抱かれがちな国連だが、実際は真逆で、常にリソース不足との戦いだったという。アフガニスタンのようにインフラがゼロの地域でセキュリティ環境を立ち上げるような経験を繰り返す中で、蓮見氏は独自の防衛思想を学んでいく。
「国連にいた頃感じていたのは『集団防衛』の大切さです。ユニセフやWHO、IAEAのように巨大な機関もありますが、多くの国連機関はとても規模が小さい。でも、小さいからといって攻撃者が容赦してくれるわけではないんです。そこで、それぞれの機関のCISOが集まってグループを作り、みんなで互助関係を築いて守り合おうという文化がありました。自分の足で自立しながらも、お互いに助け合う。サイバーの世界におけるコミュニティーの在り方は、その後の私のベースになりましたし、実は日本人の気質にもすごく合っていると感じています」
最先端のサイバー攻撃の暴風雨にさらされ、一時は「自分が壊れていく感覚」すらあったと振り返る蓮見氏。医師に相談しても「サイエンスフィクション(SF)の話をしているのか」と理解されず孤独を抱えた彼女を救ったのは、UN Women(国連女性機関)などでの活動を通じて気付いた、あるシンプルな事実だった。
「日々攻撃を防ぐ中で、あるとき『画面の向こうには人間がいるんだ』って気付いたんです。ストーカーウェアにおびえる女性や子ども、平和維持軍の現場など、サイバーの世界で苦しんで泣いている具体的な人間がそこにいる。平和維持軍でセキュリティを教えていたときも、『絶対に忘れないでね、どんなに攻撃されても、どんなに攻撃しても、その先には絶対に人間がいて、最後の判断をするのは人間なんだよ』と伝えていました。そこから、私の興味は技術そのものから『サイバーの世界で人間をどう守り、どう寄り添うか』へとシフトしていったんです」
国連で20年近くにわたり修羅場をくぐり抜けた蓮見氏は、2025年、スターバックス コーヒージャパンのサイバーセキュリティ部部長に着任し、民間企業へと活躍の場を移した。技術の進化を最前線で見続けてきた彼女は、ここ1〜2年の「AIの急速な普及」が、サイバーセキュリティの前提を根本から変えてしまったと指摘する。
「AIが出てきたことによって、この1年くらいでサイバー攻撃が完全に『普通のこと』になりました。これまでは高度な技術を持ったハッカーしかできなかった攻撃が、一般の人がツールを使って仕掛けられるようになった。私はこれを『犯罪の民主化』と呼んでいます」
AIの検知精度が上がる一方で、人間が「AIが大丈夫と言ったから」と思考停止した瞬間に、巧妙なすり抜け(フォールスネガティブ)を見落とすリスクが高まる。技術に頼るからこそ、人間の最後の判断力が試されるのだ。
サイバー攻撃の数が劇的に増えたいま、テクノロジーの仕組みだけでそれを防ぐのは難しい。そこで肝になるのが「人間」だと蓮見氏は考える。
「毎日1回は何らかの攻撃を受けるのが当たり前の時代において、プロセスの統制や法律が進むのは良いことですが、一番置いてけぼりになっているのが『人間の判断力』です。多くの人は、サイバーの世界ではまだ何も分からない赤子のような状態なのに、突然その荒野にポンと追いやられてしまっている。知識はあっても練習をしていないから、いざインシデントが起きたときにしなやかな判断ができないんです」
当然、防御側としてもAIの導入は急務であり、蓮見氏のチームでも積極的に取り入れているという。運用面でのリソース削減や、誤検知(フォールスポジティブ)の減少といった恩恵は計り知れないが、エンジニアが犯しがちな「AIへの過信」には強い警鐘を鳴らす。
「現場でAIを取り入れるのはいいことですし、人材が限られている中では大いにやるべきです。ただ、『AIがフォールスポジティブ(誤検知)を減らしてくれたから万々歳』で終わらせてはいけない。もし、その裏でAIによる『フォールスネガティブ(見落とし)』が生まれていたらどうするのか。AIが攻撃し、AIが守る時代になっても、それをどう包み込むかを決めるのは人間です」
そこで蓮見氏が提唱するのが「人間中心のサイバーセキュリティ」だ。エンジニアライフ「Human Hardeningとサイバー判断力」で、考え方や具体的な手法を惜しみなく披露している。
「かつてマイクロソフトが『一家に1台PCを』と言ったとき、多くの人が夢物語だと思っていましたが、今やPCもAIも生活の一部です。これからのAIネイティブな世代に向けて必要なのは、AIを『コントロール(管理、支配)』しようとする初期のコンピュータ思想ではなく、新しい技術を包み込んで自分たちのものにしていく感覚、そして矛盾の多いサイバーの世界を自分の足で生き抜く『サイバーレジリエンス(しなやかな回復力)』の向上なのだと思います」
少年が夜中に両親のPCを借りてやっていたこと、それは……
「大丈夫」と言ってあげられることが、私の誇り
セキュリティスキルはポッドキャストで身に付けた
日本のエンジニアは信じられないくらい細部にこだわる だがそれがいいCopyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ