こんにちは、VLCセキュリティグループ CISO 兼 VLCセキュリティラボ 代表の中本です。
本シリーズもいよいよ最終回。第1回ではClaude Mythosをめぐる業界の本音と企業の打ち手を、第2回ではセキュリティ市場の地殻変動と「責任を負える専門家」の重みを、西本顧問・川口氏のお二人と語り合ってきました。
第1回目:https://vlcsecurity.com/column/19212/
第2回目:https://vlcsecurity.com/column/19305/
最終回となる今回は、舞台を「市場」から「国家と人」に広げます。急速な進化を見せるAIとサイバー攻撃から日本の防衛体制は間に合うのか、そしてAI時代にセキュリティ業界に飛び込む若い世代はどこに自分の価値を見出せばよいのか――お二人からのメッセージを、私の所見を交えてお届けします。
西本 逸郎(にしもと いつろう)
VLCセキュリティ 顧問
元 株式会社ラック 代表取締役社長。日本のサイバーセキュリティ業界を黎明期から牽引してきた業界の第一人者。政府・業界団体の各種有識者会議でも要職を歴任し、技術と経営の両面から多くの議論をリードしてきた。
川口 洋(かわぐち ひろし)
川口設計 代表取締役 / 経済産業省 情報セキュリティ対策専門官
セキュリティエンジニアとしての豊富な現場経験と、政府の情報セキュリティ政策に関わる立場を併せ持つ。事業会社・ベンダー・官の三つの視点を実務レベルで往還できる、稀有な専門家のひとり。
中本 有哉(なかもと ゆうや)
VLCセキュリティグループ CISO 兼 VLCセキュリティラボ 代表
VLCセキュリティグループの情報セキュリティ責任者、同グループ事業会社の代表取締役を兼務。ペネトレーションテスト、DFIRなどのプロフェッショナルサービス事業の責任者。今回の鼎談ではファシリテーターを担当した。
2026年10月から、日本の能動的サイバー防御(ACD)関連法が施行されます。AIの危険性検証を一部のプレイヤーで先行して進める日本版「Project Glasswing」も、自民党により提言されました。政策面でも官民連携のサイバーセキュリティ対策の枠組みは、確実に動き始めています。
中本「能動的サイバー防御法案や、日本版Project Glasswing。政策的にもサイバーセキュリティ対策の枠組みが動いています。これは今後、どのように機能していくと見ますか」
西本顧問の評価は、肯定的でありつつも冷静なものでした。
西本顧問「今は“一歩目”なんだろうな、と思いますね。高度な汎用AIの登場でいきなりパンドラの箱が開いたようなところはあるんだけど、まずは政府も“一歩”を踏み出していることは良いことだと思う。ただ、脆弱性がたくさん見つかってくることや、攻撃が速くなること以外にも目を向けなければならないことがある。サイバー犯罪者は日本の制度や法律の穴を突くのも得意なんですよ。それをまずAIに食わせて、法律の穴を探させるやり方も当然してくる。」
西本顧問「詐欺やヒューマンハッキングのほうにもAIがどんどん使われていく。更にはAIを騙すAIまで出てくる。学習データを汚染してAIを騙していくような、ミッション・インポッシブルに出たAIが出現するのは近いかも知れない。
※『ミッション:インポッシブル』シリーズに登場する「AI」は、「エンティティ」と呼ばれる自我を持ったAI。世界中のデータベースや軍事システムをハッキングし、フェイクニュースを流したり、自らの姿を偽装したりして主人公たちを翻弄する
そういうことをも含めて対策を考える必要があるので、もっと広いフォーカスや地図を持つ必要がある。一歩一歩ではあるんだけど、地図を狭くしないことが大事だと思っています。」
技術領域に閉じない「制度・人・AI」を横断する攻撃に、どう備えるか。能動的サイバー防御という言葉が技術の話に矮小化されないよう、運用の前提から設計の射程を広げることが必要だと私も強く感じます。
官民連携については、川口氏が実務的な現実を指摘してくださいました。
川口氏「ACDの法案は官民連携が一つのポイントなので、どこまでやるのかが重要になる。ただ、業界の中でそれぞれの取り組みがすでに進んでいるので、『今さら国が口を出すのか、金は出さないのに口は出すのか』みたいな話になりかねない。情報共有も、民間側から上げる情報ばかりが求められて、官側からの共有はどうなっているのか、という非対称も実際にはあるわけです。」
ここで西本顧問が、もう一歩踏み込んだ概念を提示されました。
西本顧問「官民連携で本当にやってほしいのは、『共助』の立てつけなんですよ。例えば業界内でも、セキュリティ対策の自立ができる会社と、そこまでできない会社がある。情報共有というとISACを連想するけど、情報共有で止まるんじゃなくて、いざという時に互いに助けに行けるかどうかが、すごく重要。でも日本ではその枠組みがほとんどない。」
西本顧問「欧米はインシデント・コマンド・システム(ICS)という、事件が起きた時の動き方を標準化していて、手伝いに行けるようになっている。日本は独自独自でやるから手伝いに行けない、行ったところで何を言えばいいか分からない、という構造があるんです。」
※インシデント・コマンド・システム(ICS)とは、災害や事故といった緊急事態の発生時に、混乱を最小限に抑え、迅速かつ組織的な対応を行うための世界標準のマネジメント手法。米国で消防隊の現場指揮から発展し、現在では行政、医療、企業のBCP(事業継続計画)にも広く導入されています。
しかしながら、日本でもサイバー以外の領域で参考になる事例があると、西本顧問は教えてくださいました。
西本顧問「近しいことをやっているのはガス業界です。地震災害時には各社の管轄エリアを超えてガス元栓を止めないといけないケースが多くある。そのため、”共助”の枠組みが業界全体で機能していて、全国から工事日程や災害派遣に合わせて同じガス事業者同士で災害時に協力できる体制ができている。でも電力業界だと似たような話は難しかったりする、もともと共助の枠組みがないんですよ。」
川口氏「医療の業界でも電子カルテをクラウド化しよう、地域で枠組みを統一しようという流れもありますよね。“病院単独ではできないから、システムは地域共同で持とう“と。費用負担や誰が最初に動くかという論点はあるけど、共同インフラ化や共助の枠組み作りへの動きは自然な流れですよね。」
「単独完結」ではなく「共助前提」へ。サイバーセキュリティの世界も、情報共有から一段先の協調運用をどう設計するかが、これからの政策と業界戦略の本丸になっていくのだろうと私は受け止めました。
話題を「人材育成」に移します。
中本「ISC2ではサイバーセキュリティ人材調査(Cybersecurity Workforce Study)レポートを毎年出しています。その中で昨年は『スキルギャップ指標』なるものを出し始めたんです。単純にセキュリティに携わる人数がどれほどいるかではなく、セキュリティでAIを活用できる人材がどれだけいるか、という観点に変わってきている。サイバーセキュリティ市場に限らず、単純な人員数だけでなく、AIを使いこなせる人間がどれだけ社内にいるのかに論点が移っているのかな、と感じます」
川口氏は、ここで若手育成が二極化していく未来を予測されました。
川口氏「下積み時代――細かなログ分析、ソースコードのチェック、議事録の作成、地道に経験値を稼ぐことが出来る業務――は、もうAIにだいぶ片付けられている。給料をもらってやる業務としては消えていくと思うんです。そうすると、若い子たちの採用活動は二極化するなと。」
川口氏「ひとつは、札束を用意して経験もスキルも育成済みの人材を買ってくる選択肢。誰かが育ててきた人を、札束で買い込む。もうひとつは、自分たちで業務の中で意識的に育てていく選択肢。下積み業務が消えた以上、トレーニング/研修に意識的に金を出して投資しないと、若い人は経験を積めない時代になってきています。」
また、若手世代が企業を選ぶ視点も変わるだろうと続けられます。
川口氏「AIネイティブな若い学生さんたちは、就職先を選ぶときに『AIを使わせてくれるのか』を厳しく見ている。『うちはチャット型のこれだけしか使えません』というだけでは、スキルのある学生から見限られる時代になりかねない。会社の側にも、AIネイティブな学生を受け入れる準備が問われる。」
西本顧問「別の観点として、社員は自分の環境でAI活用をもっとやり始めますよ。社員は、自分の競争力がなくなるのが一番怖いから、AIを使わないと維持ができないなら絶対使う。ということは、シャドーAIが組織に増えていって、会社の情報が知らないところで勝手に外に出ていく。ということは、会社としても全力でAIを使える環境を整備しないといけない。」
若手の育成と、会社全体のAI活用環境の整備は、これからの会社経営において不可欠の課題になっています。
西本顧問が前回コラムにて示された「これからは裸の実力+AIが個人の能力を決める。同時に、AIなしの裸の実力で雇いたい組織もある」という見立ては、若手にとって悩ましくも示唆的だと、私は受け止めています。
専門性の素地――何が正しく、何が異常で、何が危ういのか、技術と業務の両面から判断できる――を持っていなければ、AIの出力を評価することはできません。一方で、AIを使いこなせなければ、自らの専門性と業務遂行能力をスケールさせることができない。専門性とAIスキルの両方が要求される時代において、サイバーセキュリティの世界ではどちらの軸でも一定水準を超えていく必要があります。
AIが業務の9割を代替しても、最後の判断と責任は人間に残る。「結論はこれでいい」と決め、その決定に自分の名を貼れる人間の価値は、AIがどれだけ賢くなっても消えません。むしろ、AIの能力が上がるほど、最後の責任を引き受けられる専門家の希少性は上がっていくと私は考えています。
ここで西本顧問は、日本独自の戦略について踏み込んだ提言をしてくださいました。
西本顧問「日本らしい打ち手といえば、僕からすると、やられたことを徹底的に分析していく部分は負けないと思うんですよ。サイバー攻撃側をおこなってきた側の拳をそのまま相手に返すみたいな、合気道的な手法を開発できるかが鍵だね。」
西本顧問「相手から手を出させて、その手を返して無力化させる。能動的に攻撃に踏み出すだけじゃなくて、相手から繰り出された手をどう捕らえて、どう活用するか。たぶんこれは欧米諸国だと考えないから、日本が独自に考える必要があると思うんです。一生懸命考えていい領域だと思いますね。」
歴史を振り返れば、戦国時代に伝来した鉄砲を分解・複製し、独自に改良したように、海外から押し寄せる脅威を分解・吸収して自国の防御体系に転化していく――その文化的素地は、日本にはあると私も感じます。「合気道的」という言葉は、その思想を端的に表現していると思います。
鼎談の最後に、お二人にこれからのサイバーセキュリティ業界を担う若手世代へのメッセージを伺いました。まず西本顧問から。
西本顧問「若い人にやっぱり言いたいのは、“周りの人がやっていないことをやれ”ということ。社会人として必要な一般教養は学ぶべきだし、AIもその一つだけど、周りに人がいないところに向かって走っていけよと伝えたい。それがいつか自分のキャリアになって、人生の形になる。だからプライドを持って、人が行かないところに行くという気概を持って勉強や仕事をしてほしい。」
続いて、川口氏から。
川口氏「AIの勢力図は目まぐるしく変わります。1年前はOpenAIばかり話題に出たのに、最近はAnthropicがすごいと注目されている。3年後はまた違うかもしれない。ただ、これだけAIが進んでいくと言われている一方で、AIがまったく適用されていない仕組みや組織も、まだまだゴロゴロあるんですよ。その中でやっぱり大事なのは、“一次情報に触れている”ことだと思うんです。デジタルに乗っかっていない一次情報なら、なおさらです。パソコンの前でAIに聞いて分かる範囲のことは、みんな手間をかけずに学べる。AI時代においては、業界特性、業務特性、それぞれの会社特有の事情、人と人の力学、そういう一次情報がAIとの組み合わせで更なる価値を生むポイントになってくると思っています」
セキュリティの世界は、まさに「現場の一次情報」も重要な知見です。ある攻撃手法特有の怪しい挙動、運用上の違和感、業務上「これは普通やらないはず」という勘――これらは現場でしか養われません。AIに代替されにくい個人の価値は、こうした“地に足のついた知見”の積み上げの中にしか宿らないと私自身も日々の事業の中で痛感しています。
全3回にわたるシリーズも、ここで締めくくりです。
AIの登場によって、サイバーセキュリティ事業者が不要になることはありません。むしろAI利用により新しく生まれるリスクと、それに対応する新しい仕事が増えていきます。一方で業務の中身は確実に変わると断言できます。
これからセキュリティ業界を目指す学生さんや、入って間もない若手エンジニアの皆さんにとって重要なことは、お二人のメッセージに集約されていると感じます。AIを使いこなす力、業界ルールや業務特性に分け入る力、そして最後に責任を引き受けられるだけの判断力――この3つを、それぞれの勉強や業務の中で磨き続けてほしい、ということです。
改めて、西本顧問、川口様、貴重なお時間を本当にありがとうございました。
本シリーズが、サイバーセキュリティに関わるor目指す方にとって、これから先の10年を考えるささやかな材料になれば幸いです。
VLCセキュリティグループ CISO / VLCセキュリティラボ 代表
中本 有哉
西本逸郎顧問・川口氏・中本有哉 鼎談(2026年5月14日収録) より
