Project 2030:「未来を予測する」とは何を意味するのか
サイバーセキュリティ専門組織としてのインテリジェンスを活かし、トレンドマイクロはサイバーセキュリティ領域における未来シナリオ「Project 2030」を作成しました。
未来からの逆算私たちは、意識的であれ無意識的であれ、未来に起こりえることを常に想定しながら現在の行動を決めています。
個人であれば、今日傘を持って出かけるべきか否かの判断をしたり、会社が将来どうなるかを予想して就職を考えたりします。企業経営層であれば、世界情勢がどう変化していくのか、競合企業が今後どのような戦略を展開するのか、自社の経営環境がどう変化していくのか、どのような人材が流入出するのかなど、自社の存続と発展のために未来を描きながら現在の経営決定を下します。そして国家であれば、緊張関係にある相手国の将来の行動を予測して、効果的な外交政策や安全保障政策がどのようなものになるのかを設定しています。
このように、個人であれ組織であれ、目標達成のためには「未来から逆算して現在の行動を決める」という課題からは免れません。裏を返せば、より精度の高い未来予測ができれば勝率は格段に上がるわけです。
「未来からの逆算」を戦略的に実行する。そのために、私たちは日常的にインテリジェンスを活用しています。
インテリジェンスのレイヤーとその目的は複数存在しますが、インテリジェンス活用の最終目標は「未来予測」に収斂します。しかし、未来を予測すると簡単に言っても、実際に行うのは非常に困難です。明日の天気は高確率で予想可能ですが、数十年後の遠い未来のことなどは予測不可能でしょう。
ましてや、現代はVUCA(Volatility:変動性, Uncertainty:不確実性, Complexity:複雑性, Ambiguity:曖昧性)の時代と言われており、近年ではAIやIoTに代表される先端技術の浸透が、その環境変化のスピードに拍車をかけています。
ではこのような時代において、私たちはどのようにして「未来からの逆算」を行えばよいのでしょうか?
「不確実性の低減」を目指すインテリジェンスを活用する組織はまず、「未来予測」とは「これから起こることを言い当てること」を目指してはいない、ということを強く認識しておく必要があります。つまり、インテリジェンスは『確実性を担保するための道具』ではないということです。
例を挙げてみましょう。
我々トレンドマイクロはサイバーセキュリティ専門企業です。国内外で大きなセキュリティインシデントが発生すると「今後もこのような攻撃は起こりますか?」という質問を外部から受けることがあります。このとき、「はい、起こります」と無責任に断定することは、インテリジェンスに基づく未来予測とは言えません。なぜなら、未来の出来事を100%把握することは不可能であり、たとえ起こりえる確率が高かったとしても数ある未来予測の一つに過ぎないからです。
不確実な未来に対する明快かつ自信に満ちた発言には高いエンターテインメント性がありますが、そればかり追求していては本来の目的を見失います。
では、未来予測の目的は何なのか。元防衛省情報分析官である上田氏は著作の中で、「情報分析における未来予測の目的は、カスタマーの不確実性を低減することにほかならない」と説明しています。つまり、事実およびデータに基づく推論を積み上げ、「こういうことが起こりえる」という未来の想定をし、未来の出来事に虚を衝かれる可能性を戦略的に下げていくことが、インテリジェンスの使命であるということです。
「確実性の担保」ではなく、「不確実性の低減」を目指す。これこそがインテリジェンスを用いた未来予測の目的です。そして、その具体的な手法のひとつに、シナリオ・プランニングがあります。
複数の未来シナリオを用意するシナリオ・プランニングとは、論拠に基づく複数の未来シナリオを設定し、そのシナリオに沿って戦略を精査・検証する取り組みのことです。
不確実性の高い環境に置かれている企業が、たった一つの見通ししか持たずに戦略を策定するのはリスクが高すぎるため、複数のシナリオを設定するシナリオ・プランニングが不確実性を低減する有力な手法として注目されています。
シナリオ・プランニングは他の分析手法とは異なり、未来シナリオの確かさに力点を置くのではなく、複数の未来シナリオを考えることで組織の気づきと学習を促し、不確実性に対処することを重視しています。
さまざまな未来を想定することで、当然の前提となっていた思い込みを浮かびあがらせたり、組織が注視すべき指標の見直しをしたりするきっかけを作ることができるからです。
そのような組織の進化に貢献すべく、サイバーセキュリティ専門組織としてのインテリジェンスを活かし、トレンドマイクロはサイバーセキュリティ領域における未来シナリオ「Project 2030」を作成しました。
“Project 2030”この未来シナリオは、今から9年後の2030年にどのようなサイバー犯罪が起こりえるかを予想したものです。予測したシナリオは広範囲かつ多面的です。
未来予測にあたり、我々が現在把握しているサイバー犯罪の動向や標的の情報に加え、そこにインターポールや国連などの公的機関が発行しているレポートなどを統合的に分析にしました。また、サイバーセキュリティ業界の主要プレイヤー各社による短期予測を集約し、現在の専門家の共通認識を取りまとめました。
こういった統合分析作業のあと、学術研究論文や技術特許など幅広い領域の技術動向の精査から、2030年にどんな技術が普及しているかを検討しました。その結果を一つの物語に収斂させ、「ニュー・サン・ジョバン」という架空の国での2030年の出来事として記述したのが、私たちのサイバーセキュリティ・シナリオである“Project 2030”です。
このシナリオは、デジタルテクノロジーが社会インフラとして完全に根付いている社会を描いています。
AIやIoT、5/6Gなどの先端技術が、コモディティ化した未来にはどのようなリスクが想定されるのか。本レポートでは、考えられるサイバーリスクを個人・法人組織・国家の視点という3つのサブシナリオを介してご紹介しています。
私たちが作成したこのシナリオが、法人組織が長期的なサイバーリスク・マネジメント戦略を策定する上でのヒントになれば幸いです。
Project 2030 特設サイト
<参考文献>
「Project 2030: Scenarios for the future of cybersecurity」トレンドマイクロ株式会社(2021年、Baines & Ferguson)
「武器になる情報分析力」並木書房(2019年、上田)
石原 陽平
トレンドマイクロ株式会社
セキュリティエバンジェリスト
CISSP。犯罪学学士。経済安全保障コーディネーター。世界各地のリサーチャーと連携し、サイバー犯罪の研究と情報発信を担う。また、サイバー空間における脅威概況や特定専門領域(産業制御システム/IoT/5Gなど)のセキュリティ調査/発信も担当。日本の組織の経営・役員に向けた講習、サイバーセキュリティの国際会議での講演などを通じ、ビジネスとデジタル技術の関係性や、サイバー事故の犯罪学的/地政学的考察に基づく、サイバーリスク対策の啓発を行う。
講演実績:Gartner IT SYMPOSIUM/Xpo™ 2023、SANS ICS Summit 2022、CYBER INITIATIVE TOKYO(サイバーイニシアチブ東京)2022、デジタル立国ジャパン・フォーラム 2022、制御システムセキュリティカンファレンス 2021・2022など
更新日:2022年5月9日
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年10月31日)