意図的に組織に挑むチーム
配信日:2019年12月18日
日経新聞の記事にホワイトハッカーのことが出ていました。ホワイトハッカーとは、企業がITシステムのハッキングを受ける前に、実際に彼ら(ホワイトハッカー)にハッキングしてもらい、システムの脆弱性や課題を見つけることを生業にする人たちです。日本ではまだまだそういう試みは少ないようですが、アメリカを中心に欧米では取り入れ始めています。
「ハッカー」というと違法性や犯罪の匂いがありますが、ホワイトハッカーは「良いハッカー」または「善玉ハッカー」といったところでしょうか。経済のデジタル化が進み、経営そのものもデジタル化するなかで、社外へのデータ漏洩のみならず経営自体も、そしてソフトウェアの組み込まれた製品もいまではリスクになっています。だから善玉ハッカーにお金を払って悪玉ハッカーが狙いそうな自分たちの弱いところを見つけて事前に手を打つ。善玉vs悪玉ハッカーです。事実、グーグルでは善玉ハッカーに150万ドル(1億6,000万円)以上、アップルは100万ドルという報酬を払っています。
実は20年も前に、同じような興味深い事例があります。1997年6月の米軍のケースです。『米政府のインテリジェンス機関の中でも高いハッキング能力を持つ国家安全保障局(NSA)がレッドチーム(業務改善を目的として意図的に組織に挑む独立のチーム)を設立。米統合軍のひとつである太平洋軍と国防総省の電話、ファックス、そしてコンピューターネットワークにサイバー攻撃を仕掛けた。この演習は当初、2週間の予定だったが、軍の中枢ネットワークが乗っ取られたことで、たった4日間で終了した。戦時に大統領の命令を発する国軍指令センターは、初日に陥落していた。多くの軍のコンピューターがパスワードすら設定されておらず、あったとしてもpasswordや12345といった容易に推測されるパスワードだった。すべての電話回線はつながらなくなり、ファックス回線は鳴りっぱなしになった』(日経新聞/2019年9月25日)
レッドチームですって。1997年という、まだハッカーなんて言葉すらない時代に「すごいな」「さすがだな」と思います。それに「業務改善を目的として意図的に組織に挑む独立のチーム」というのが、またかっこいい。いまですらハッキングは主要な企業リスクだけれども、こういう組織を持つことも日本企業の課題だと思います。
それに企業がこのようにホワイトハッカーを高額の報酬で雇うことは企業のみならずハッカーの人生にも良い影響を与えるのではないかな。今後は悪玉ハッカーを廃業して善玉ハッカーに鞍替えするひとも出てくると思います。悪玉キャラに憧れる連中はともかく、多くのひとは犯罪者として生きるよりも、善玉のほうを望むのではないか。企業や国家を転覆させるようなIT技術を持つひとが、それを悪いほうに使うのではなく、良いほうに使い、堂々と稼ぐ。また文字通り社会のためになる仕事をする。なんだか乳酸菌飲料によくある、善玉菌が悪玉菌を喰っていくような話ですが、そんなに間違っていないと思います。