ロシアによる侵攻前からウクライナ政府は
米大手IT企業のCEOと人脈を築いていた

おふたりPhoto by H.K.

田中 ウクライナは、今回のロシア侵攻前から備えていたと聞いています。

松原 2014年のロシアによるクリミア半島の併合以降、ウクライナは、ロシアからサイバー攻撃を受け続けてきました。

 2015年と2016年の12月の真冬の時期に、ロシアからのサイバー攻撃で停電が起きています。

 2017年の6月には、複数の政府機関や、鉄道、金融、原子力発電者などの重要インフラが、やはりサイバー攻撃で機能停止しています。

 何度も何度もロシアのサイバー攻撃で痛い目に遭わされてきたウクライナは、教訓を活かし、8年かけてサイバー攻撃への防御能力を高めてきました。

 また、ウクライナの重要インフラの大手企業は、ロシア軍が国境に集結し始めたと見るや、侵略を覚悟しました。「ミサイル攻撃を受けたら企業には打てる手だてがない」とあきらめなかった。自社のサービスを停止させないため、数億円規模の費用をかけて、インフラを重複化し、大切なシステムを保管する倉庫を西部へ移設しました。

 社員が巻き込まれたときに連絡が取れるよう、衛星電話を配布する企業もありました。政府に指示されたわけではなく、民間企業が独自に準備をしていたようです。社内には「ロシアからの軍事侵攻なんて起こらない」と反対する人もいたかもしれません。それでも備えたんですね。

 さらに、ロシアによる侵攻前、政権を取ってからすぐ、ゼレンスキー大統領とフェドロフ副首相は、アメリカのシリコンバレーを訪問し、大手IT企業のCEO(最高経営責任者)たちと人脈を築いていました。ロシアによる侵攻後、フェドロフ副首相等がツイッター(現・X)で、アメリカの大手IT企業のCEOたちへ救援を求め、多くのCEOがそれに応えたという「美談」がありますが、大手企業が支援に動いたのは、戦争が始まる前から築いていた人間関係があってこそだったと思います。

田中 ウクライナは以前から、官民ともに、サイバー対策も政治的な根回しも、地道に行っていて、松原さんが感銘を受けた会議に至るまでの前段がウクライナ側にあったということですね。それもあってか、情報の見せ方も上手ですし、発信能力も高い。

松原 日本がウクライナからもうひとつ見習うべきは、外国の政府高官に、ウクライナのサイバーセキュリティ能力の高さについて、公の場で繰り返し語ってもらっている点です。アメリカやイギリスの政府高官は、ウクライナの優れたサイバーセキュリティ能力について、国際会議やフィナンシャル・タイムズ紙などの大手メディアの前で何度も強調してきました。

 自分たちで能力の高さをアピールするよりも、国際的に尊敬されている立場の人々に、客観的に評価されたほうが、説得力は上がりますよね。そうしたコメントを目にした各国政府関係者や専門家は、「ロシアがサイバー攻撃を続けているにもかかわらず、全面戦争の中でウクライナは善戦しているのだな。それだけの実践的な知見は私たちの国のサイバーセキュリティにも役立つはずだから、ウクライナと協力したほうがよさそうだな」と考えるわけです。

 先ほど、ウクライナ政府のビクトル・ゾラさんの例を挙げましたが、実は、ウクライナの大手企業のCEOたちも、積極的に外国の国際会議に足を運び、英語の大手メディアの取材を受け、自分たちの知見を共有しようとしてきました。自らの状況を絶対に卑下しないし、悲しい話だけで終わらせない。同情心だけで始まった支援は長続きしません。支援する側と対等なパートナーとして対峙しようという気概があります。

田中 「貢献できます」という実績が伴った表現や主張は、相手と対等な立場を築くためには不可欠ですね。

松原 聞く側が、「ウクライナを支援すれば、自分たちにとって得になる。支援しなければ逆に損をするかもしれない」と思えるよう、潜在的に訴えかけ、長期的な協力体制を築く可能性を高めたわけです。

田中 それもこれも「俯瞰力」ですね。今の世界情勢において、ウクライナは世界の中でどのように振る舞ったらいいのかを、よく知っていたんですね。

 今のお話は、コミュニケーションの重要性を考える上でも、非常に大事なポイントと思いました。お話をお聞きしていて、もうひとつ、コミュニケーションに関する大きなポイントがあると感じまして、それは「理解されないことを言語化する難しさ」です。

 松原さんの著書『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社)の中で、こうしたくだりがありました。企業のサイバーセキュリティ担当部門から、各社員へ、サイバー攻撃の被害を最小化するため、直ちにシステムの使用をやめるよう要請しても、社員たちからは「業務で忙しいのに、面倒なことをさせられている」と文句を言われる。

 でも、サイバー攻撃被害を受けて何らか業務に影響が出ると、「サイバーセキュリティ部門は一体、何をしているんだ」とたたかれる。サイバー対策は、企業の命運を分かつほどに重要なことなのに、その重要性をなかなか理解してもらえない、と。

 こうした、なかなか社員に理解されないことを、どのようにして言語化してわかってもらうか、非常に難しい問題です。松原さんは、こうした、理解されにくいサイバーセキュリティ担当者の苦労を代弁されていますが、本を書く上で、こうした「理解されないこと」を言語化する際、どういう工夫をしたのですか?