新卒11年目で子会社社長に就任。SMBCサイバーフロント社長が語る、日本のサイバーセキュリティの現状と未来

青木私はアメリカのカーネギーメロン大学の大学院に社費留学し、サイバーセキュリティの修士号を取得後、サイバーセキュリティ統括部にて4年間、主にSMBCグループのセキュリティ対策の向上や、グループ全体のセキュリティ戦略を立案する業務に従事していました。

私は個人的に、IPA（独立行政法人 情報処理推進機構）が実施する情報処理技術者試験・情報処理安全確保支援士試験の試験委員も担っているのですが、「社会貢献」や「社会課題」といっても1人でできることには限界があると感じていました。

さらに大学院卒業後4年間は、SMBCグループにおけるサイバーセキュリティに貢献してきましたが、自身の専門性をより活かしたいと感じていました。そうした中、社長公募の話があり、お客さまのサイバーセキュリティ対策をご支援するという、日本のセキュリティ業界の底上げに通じる取組であれば、自分の専門性や知見をより活かせると思った次第です。

青木私は、2014年に三井住友銀行に新卒で入行しました。神戸の三宮支店および法人営業部を経て、東京のシステム統括部に異動し、システムの障害管理を4年間担当していました。

実は入行当初は法人営業や、株式や為替のディーラー業務を志望していたので、システム系の業務には興味がありませんでした。そうした中、人事異動でシステム統括部への配属が決まり、上司から部内の業務説明を聞いて「サイバーセキュリティって面白そう、やってみたい」と思うようになりました。

その時、上司から受けた「SMBCグループもサイバー攻撃の標的になりうる。ぜひ君に守ってもらいたい」という言葉が、今でも心に残っています。

青木はい、SMBCグループ内でサイバーセキュリティの専任人材を育てるべく、私がアメリカの大学院に派遣される運びとなりました。

カーネギーメロン大学は、卒業生の多くがGAFAに就職するような大学であり、授業内容も非常に高度でした。入学前に願書を提出した際、実は、そこで一度リジェクト（入学拒否）をされてしまったのです。ITのスキルも英語の能力も不十分なため、入学しても授業についていけないだろうという大学側の判断です。

そこで、教授に直接連絡をして自分の英語力やスキルをアピールし、なんとか条件付きで合格となりました。まずはオンライン授業を半年間受講して、全教科の平均成績が一定以上であれば正式に合格を認めるという条件でした。もし、この時合格できていなければ、今の自分はなかったと思います。

青木驚いた点は二つあります。一つ目に、教鞭を執るのが企業のサイバーセキュリティ担当者や、国を守るサイバー部隊に所属する人だということです。サイバーセキュリティについて教育する環境が整備されており、各業界の第一線を知る方が教鞭をとっています。

そして、日本と比べると圧倒的にアメリカの大学では成績やテストの点数にこだわる学生が多いです。なぜかといいますと、就職が学校の成績に直結しているからです。面接に加え、インターンで良いパフォーマンスを発揮することが内定へとつながるので、皆必死です。授業も真剣に受けるし、課題をサボる人もいない。私は日本の大学院も経験しているのですが、大きなカルチャーショックを受けました。

青木授業は、週に一度は徹夜するほど大変でしたが、サイバーセキュリティを体系的に学ぶことができたところが大きいですね。アメリカの第一線で活躍している方々が講師なので、座学のみならず実学が学べました。実際に脆弱性のある端末に攻撃を仕掛けて、成功したら得点が与えられる。そのような試験を重ねて攻撃側と守る側、双方の視点が身につきました。

サイバーセキュリティを専門的に学べる日本の大学や大学院はほとんどありませんが、アメリカや欧米ではサイバーセキュリティ専門の学部・学科が存在しています。その点を見てもまだまだ日本は発展途上だと思いますし、サイバーセキュリティ人材が増えない一つの要因かと思います。

青木11年目という早いタイミングで、社長という責任の重いポジションに就けるとは思っていませんでした。アメリカの大学院に通い、サイバーセキュリティの専門性を身につける機会を得られる、そのような稀有なチャンスを与えてくれた会社には感謝していますし、こうして、身につけた専門性を遺憾なく発揮できる役に就けた点を非常にポジティブにとらえています。

これまでは社内の同期たちと切磋琢磨してきましたが、これからはいかに社外の方と良い関係をつくっていくかが重要であると考えています。サイバーセキュリティの領域は、一社だけでは守りきれません。セキュリティサービスを提供する他社とも協力していきながら、日本のセキュリティ強化に繋げていきたいと思っています。

これまで、日本に対してのサイバー攻撃がそれほど多くなかったのは、日本語という言語に守られていた側面が大きいと思います。海外の攻撃者からすれば日本語を見ても解読できないので、攻撃するメリットがないわけです。しかし、自動翻訳の発達などにより攻撃しやすい環境になってきた現在は、どのような企業もサイバー攻撃の標的になりうる可能性があり、実際に被害にあう法人は重要インフラに限らず様々な業種に広がっています。

青木一からサービスを生み出す難しさを非常に痛感しています。これまでSMBCグループ内で立ち上げている子会社の多くは、共創するパートナー企業のサービスをベースに事業化していますが、我々の場合はそれに当てはまりません。反面、自社でサービスを柔軟にカスタマイズすることが可能であり、お客さまのニーズに合わせてクイックにサービスを変更できる点は強みだと考えています。

サイバー攻撃を仕掛ける側と守る側は常にイタチごっこの関係で、新しい攻撃に対する防御法が編み出されると、その防御法を上回る攻撃が生まれて、さらにそれを防ぐ方法が編み出される。そのため、既存の同じサービスを常に提供し続けるよりは、攻撃の巧妙化に合わせたサービスが必要になります。それがSMBCサイバーフロントの提供するアドバイザリーサービスです。

青木私たちの提供するアドバイザリーサービスは、経営者の方々を交えて定期的に面談し、セキュリティの脆弱性を発見するASM（Attack Surface Management）ツールなどを用いながら、具体的なセキュリティ対策をお客さまとともに考えていきます。加えて、1～3年間のセキュリティ計画の立案や、メールによる無制限の相談サービスも提供します。短期間のコンサルティングでは、期間終了後に新たなサイバー攻撃でセキュリティを破られるリスクが生まれます。長期的なスパンでお客さまをご支援していく過程で、我々のサポートがなくても自走できる社内体制を構築する。それがSMBCサイバーフロントのミッションです。

青木私たちは「経営層に対する直接のアプローチ」を強みにしていますが、そこにはSMBCグループがこれまでに法人営業を通じて築いてきた、お客さまとのネットワークが基盤にあります。システム担当者のみならず、経営層にサイバーセキュリティの重要性を説明して、ご理解をいただいた上で、適切なセキュリティ対策をご提案します。まずは中堅・中小企業を対象にサービスを設計していますが、将来的には大企業向けや、グループ会社全体を管理するサービスの提供も視野に入れています。
SMBCサイバーフロントという社名には、ホテルのフロントデスクのようにお客さまからのあらゆる相談を受け付けたい、という思いを込めています。我々一社のみでできることには限界があるので、競合他社とも手を取り合いながら、日本のセキュリティ強化を目指していきます。