ここまで聞いて、筆者は商品開発とサイバーセキュリティを切り離して質問すること自体、時代遅れだったと気づいた。これまで企業のセキュリティと言えば、サイバー攻撃からの防御やリスクマネジメントという観点で議論されることが多かった。しかし、デジタル技術を駆使した新たなビジネスモデルやサービスを創出する際のセキュリティは、これまでのやや受け身の対策ではなく、よりよいユーザー体験の創出や信頼性向上を実現するための攻めの手段だ。アイデアの段階、もしくはPoC、サービス設計といった開発の前段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」というアプローチが求められている。

 安田にはもう一つ、サイバーセキュリティにおいて商品開発の視点が役に立つことがあるという。「仮想攻撃者のペルソナ(人物像)を作って、これを攻略するにはどうするか、みたいなことはよく頭の中でシミュレーションしていますね」、完全にマーケターの発想だ。

 例えば、どこかの企業が標的型攻撃を受けて被害が出ると、詳細に分析されて記事になる。それを読んで、同様の手口で自行を攻撃するとしたら誰を狙い、どうやってメールアドレスを入手するかを考える。新しい不正対策の製品を入れたらその瞬間から、これをどうやって破ろうかと攻撃者になりきって考えるのだという。

セキュリティとオープンイノベーションの交差点

 現在は新規事業やイノベーションの世界に身を置く西井に、セキュリティの経験がどう生かされているかを聞いた。

日本のDX最前線『ルポ 日本のDX最前線』酒井真弓(集英社インターナショナル)

 西井は、「普段そんなこと考えないからなぁ」と頭を抱えながら、「リスペクト」「エコシステム」「ギブ・ファースト」という言葉を紡ぎ出してくれた。セキュリティ担当者は、専門性が高いために近寄りがたく見えることも多い。だが、実際に彼らに接すると、その仕事ぶりや使命感に尊敬を禁じえない。スタートアップに対しても同じことが言える。相手のカルチャーを理解し、「リスペクト」することで、大企業とスタートアップの関係はよりよいものになる。また、企業の枠を超えて「エコシステム」を形成し、「ギブ・ファースト」の姿勢を貫くことは、他行のCSIRT や金融ISACに助けられて学んだことだ。

「サイバー攻撃を受け、藁をもつかむ思いで内部の情報を提供したら、それ以上のものが返ってきた。その経験があるから、今もスタートアップに対して僕らから積極的に手の内を明かしています。リスペクトがあれば情報は出せる。それがセキュリティとオープンイノベーションの共通点です」

 2人の物語は、さらに多くの登場人物を巻き込みながら続いていく。