Day 80 集合的防衛―共に立ち、共に守る Collective Defense-Cybersecurity as a Team Sport
集合的防衛―共に立ち、共に守る Collective Defense
ヒーローではなく、人を守るために
ここまで、私がサイバーセキュリティをどう定義しているか、その土台となる 3つの概念 を提示してきました。
- 人間中心のサイバーセキュリティ
── サイバースペースにおいて「人」を守ること - 比例した防御(身の丈にあった防衛)
── 私たちが何者で、何を持っているのかに見合ったセキュリティ - 集合的防衛(Collective Defense)
── 個人の技としてのセキュリティであり、同時にチーム、組織、業界、そして国家を横断して共有される実践としてのセキュリティ
今日は、この 3つ目 の概念を完成させたいと思います。
サイバーセキュリティはチームスポーツ
さまざまな国で働き、暮らす中で、私はあるとてもシンプルな結論に行き着きました。
誰一人、完璧な人はいない。
完璧な組織もない。
完璧な国もない。
人は、自分自身を批判し、チームを批判し、組織を、そして国を批判します。
私は、それ自体が悪いことだとは思っていません。
どんな場所にも、強みと弱みがあります。
人が「人として」尊重されている限り、不完全さを認めることに、何の問題もない。
私はよく、こんなふうに言います。
文句が言えるのは、いいことだ。
文句が言えるということは、話す自由があり、問いを立てる自由があり、そして「良くしていく自由」があるということです。
沈黙のほうが、批判よりも、ずっと怖く、危険なことが多い。
他者から学び、そして一歩先へ
確かに、日本のサイバーセキュリティは、いくつかの分野で遅れています。
追いつかなければならない。やるべきことは、たくさんあります。
でも、それは「悪い」という意味ではありません。
ただ、まだ途中なだけです。
形こそ違えど、多くの国が、実は同じ場所に立っています。
日本は、開国以来、外から学び、取り入れ、真似ることで成長してきました。サイバーセキュリティの分野も同じです。欧米主要国をベンチマークにすること。戦略を担う立場にある人が、欧米主要国を参照点にするのは、ごく自然なことです。
そして私は、その姿勢自体に異論はありません。
学ぶことは有効です。
取り入れることも重要です。
模倣は、確かに私たちを前に進めてきました。
ただ―
模倣だけで、本当に十分でしょうか。
取り入れるだけでは足りない。
真似るだけでも足りない。
私の同僚や、これまで出会ってきた人たちの中には、
自分の故郷や国を失った人もいました。
私は、そうした現場を実際に見てきました。
だからこそ、思うのです。
日本は、生き残ってきた国です。
多くの弱さを抱えながら、同時に、多くの強さも持っている。
ならば―その強さを、「責任」として使うべきではないだろうか、と。
日本の強みのひとつは、私が「模倣的創造性」と呼んでいる力だと思っています。
他者から学び、それを磨き、適応させ、改善する。
より実践的に、より強靭に、そして、ときには、より美しく仕上げていく力です。
日本は、創造性を欠いたことはありません。
失ってきたのは、創造性そのものではなく、それを「使っていい」という自信でした。
今こそ、この強みを、サイバーセキュリティにも生かすべき時だと思っています。
誤解しないでください。
私は、西洋のアプローチを批判しているわけではありません。
「あなたたちのやり方が間違っている」と言いたいのでもありません。
ただ、それをそのままコピーすることを勧めているわけでもないのです。
私が指しているのは、「模倣的創造性」です。
他者から学び、それを磨き、適応させ、改善する。
より実践的に、より強靭に。
日本の弱みを、日本の強みで補うこと。
そして、日本の文化、組織、人に本当に合ったサイバーセキュリティを築くことです。
だから私は、「比例した防御」を語るとき、
「日本にフィットしたサイバーセキュリティ」を提唱します。
欧米モデルをそのまま真似るのではなく、日本の現実に合わせて、仕立て直すこと。
どの国にも、強みと弱みがあります。
日本も例外ではありません。
そして、日本の数ある強みのひとつが――
集合性です。
私の集合的防衛の原点
この集合性は、私のセキュリティ観そのものを形づくってきました。
だからこそ私は、一貫して Collective Defense(集合的防衛) を訴え続けています。
私は長く、国連でCISOとして活動し、ISACのような国連CISOグループに参加し、共同議長も務めました。そこで私が経験したのは、集合的防衛を「理念」ではなく、「実務」として運用する現場でした。使命も規模も成熟度も異なる組織が、知見を共有し、助け合い、結果として全体のセキュリティを底上げしていく。
強い組織が、弱い組織を支える。
ヒーローに依存しない。
全体として耐性を高める。
この経験こそが、私の「集合的防衛」という考え方の原点です。
集合的防衛とは何か
私が定義する集合的防衛は、誰ひとり取り残さないように設計されたサイバーセキュリティです。
個人と集団が、それぞれの強みと弱みを補い合い、ともに守る。
誰か一人への攻撃が、全体の崩壊につながらないようにする。
集合的防衛は、感情ではありません。
運用モデルです。
キーワードは、「補完」。
とても高度なスキルを持つ人もいれば、技術にあまり詳しくない人もいる。
時間や予算に余裕のある組織もあれば、リソースが限られているところもある。
訓練された対応要員もいれば、子ども、初心者、あるいは余裕を失っている人もいる。
健全なセキュリティのエコシステムは、こうした違いを恥じさせません。
違いを前提に、設計します。
そして、守る。
ただし―守りを「依存」に変えてしまわない形で。
必要なのは、ヒーローでも、孤独な専門家でもない。
チームであり、信頼であり、共有された「守り」です。
信頼は、抽象概念ではありません。
意思決定が速くなり、エスカレーションが明確になり、プレッシャー下でも落ち着いて連携できるようになったとき、はじめて「測れるもの」になります。
なぜなら、サイバーセキュリティは、英雄ではなく、職人の技が重なり合い、結晶となって成り立つチームスポーツだからです。
軍事からサイバースペースへ
最もシンプルに言えば、集合的防衛はこう要約できます。
一人はみんなのために。みんなは一人のために。- One for All, All for One
これは、ただのきれいなスローガンではありません。
この考え方は軍事の世界に由来します。
集合的防衛とは、「誰か一人への攻撃を、全体への攻撃として扱う」という、共有された義務のことです。
もちろん、サイバーセキュリティは物理的な戦争ではありません。
けれども、その論理は驚くほどよく当てはまります。
ネットワークでつながった世界では、インシデントは一か所に留まりません。
コストも、リスクも、混乱も、境界を越えて広がっていく。
ローカルな失敗は、あっという間にシステム全体の弱点になります。
だからこそ、サイバースペースにおいて集合的防衛が重要なのです。
それは思想ではなく、現実だから。
恐怖で縛るのでもなく、ヒーローを崇拝するのでもなく、設計と、信頼と、協調によって。
レジリエンスは、一人で立つことで生まれるものではありません。
ともに立つことで、はじめて築かれるのです。
よくある4つの誤解
1)「One for all」は依存を意味しない
集合的防衛は、依存を意味しません。
誰かが何もしないまま、集団に支えてもらうことでもありません。
むしろ、その逆です。
一人ひとりが、自分なりのやり方で強くなることを前提にしています。
全員が同じ形で貢献する必要はありません。それこそが、ポイントです。
システムを設計する人がいる。
脅威を検知する人がいる。
プレッシャーの中でも冷静に伝える人がいる。
教える人がいる。
混乱の中で落ち着いて調整する人がいる。
集合的防衛は、均一性ではありません。
チームプレーであっても、求められるのは卓越性です。個人の技です。
それぞれが、自分の役割においてベストを尽くす。
リーダーが、こうした個々の強みを縫い合わせ、ひとつの強靭な全体にすること。
それが、「調和した強さ」です。
2)「集合的」は「リーダー不在」ではない
私たちには、リーダーが必要です。特に、緊急時には。
リードするということは、部下や自分のチームだけを導くことではありません。
上も、横も、すべてをリードできなければならない。
集合的防衛において求められるリーダーシップとは、肩書きによる統制ではなく、立場の異なる人たちの判断と行動を、同じ方向にそろえていく力です。
そして、緊急時には、リーダーはリードしなければならない。つまり、「本当にリードできる状態」でなければならない。
では、非常時にリーダーはどうすればリードできるのか。
答えは、シンプルです。
日常の仕事と、日常の関係性の中で、信頼を積み重ねているかどうか。
信頼は、侵害が起きてから作れるものではありません。
侵害の前に、能力、一貫性、誠実さ、そして人としての配慮によって築かれるものです。
人は、肩書きについていくのではありません。
「日々をともに歩める人、歩みたい人」についていくのです。
3)「ヒーローはいらない」は「卓越性はいらない」ではない
私が集合的防衛と言うとき、卓越性が不要だと言っているわけではありません。
言っているのは、たった一人のヒーローに依存するセキュリティを作ってはいけない、ということです。
- ヒーロー型セキュリティは、脆い。
- ヒーローは燃え尽きる。
- ヒーローはボトルネックになる。
- ヒーローは去っていく。
- そして去った瞬間、組織は崩れる。
集合的防衛が強いのは、能力、責任、信頼が共有されているからです。
リーダーはヒーローになれません。すべてを知ることも、すべてをすることもできない。
だからこそリーダーは、他者が力を発揮できる「条件」「環境」を作らなければならない。
個々の強みを見極め、限界を理解し、強みが弱みを補うように、人と人を意図的につなぐ。これは、簡単な仕事ではありません。
4)「集合的防御」は「他人を優先すること」ではない
集合的防衛とは、自分や、自分のチームや、自分の組織を犠牲にすることではありません。
サイバーセキュリティにおいて、責任の順序は明確です。
まず、自分を守る。
まず、自分の組織を守る。
飛行機で、まず自分がシートベルトを締めてから他人を助けるのと同じです。
それは利己主義ではありません。プロフェッショナリズムです。
集合的防衛が機能するのは、それぞれの組織が、自分の責任を本気で果たしているから。
まず、自分たちのシステムを守る。
まず、自分たちの環境を安定させる。
そのうえで―可能なときに、共有し、警告し、支え、助ける。
同じ転び方を、他者にさせないために。
集合的防御は、個人や組織の責任の代わりではありません。
それは、その責任の上に積み重ねられるものなのです。
個を守ることが、連なっていく。その積み重ねが、やがて全体を守る。
実践の中での「集合的防衛」
集合的防衛が「現実のもの」になるのは、こんなときです。
失敗を隠すのではなく、学びとして共有するとき。
インシデントが起きてからではなく、起きる前に一緒に訓練しているとき。
危機の最中だけでなく、平時からリーダーが信頼に投資しているとき。
組織が不安と向き合い、恐怖を受け入れ、脅威インテリジェンスを共有するとき。
業界が、沈黙の中で競うのではなく、連携するとき。
国家が、能力とレジリエンスを高めるために協力するとき。
これは、慈善活動ではありません。
戦略です。
なぜなら、サイバースペースにおいて――
孤立は、独立ではない。
孤立は、脆弱性だから。
そして、これは机上の理論ではありません。私は、実際にこれを経験してきました。
例えば、深刻なインシデントに直面したとき、助けは派手に、あるいは公にやってきたわけではありませんでした。それは、とても静かに、ほとんど見えない形で、
しかし、決定的に届きました。競合関係にある組織から、ひとりの仲間が支援のために送られてきたのです。
発表もなければ、称賛もない。ただ、行動だけがありました。
その瞬間、私たちはビジネス上の競争を脇に置きました。重要だったのは、市場シェアでも、評判でもありません。システムと、人と、信頼を守るという責任でした。
本当の敵は、互いではなかった。
国境も競争関係も意に介さず、ネットワークを横断して動く、共通の脅威でした。
その「私たちは共にある」という感覚は、日本が静かに持ち続けてきた強みのひとつだと思っています。
だから私は、貢献することを選びます。
同じ現場に立つ仲間に。
業界に。
そして、この国に。
私は、それを現場で見てきました。
私たちは、いま、ここに共にあります。
おわりに
セキュリティは「不完全さ」から始まります。
誰も完璧ではないのなら、私たちは「不完全であること」を前提にしたセキュリティを設計しなければならない。
今日、少し強い人がいるなら、その強さは、他者を引き上げるために使われるべきです―屈辱を与えることなく、優位性を誇示するのでもなく。
今日、少し弱い人がいるなら、その人は守られるべきです―依存を生むことなく、自立を奪うことのない形で。
集合的防衛は、スローガンではありません。
日々の鍛錬です。
あなたは、ヒーローがいなくても機能するチームを築いていますか。
次の危機が来る前に、信頼を積み上げていますか。
個と全体の強みを使って、弱みを補い合えていますか。
なぜなら、最終的にサイバーセキュリティとは、攻撃を止めること「だけ」ではないからです。
人を守れているか。
現実に合った防御になっているか。
そして、本当に大切な瞬間に―共に立ち、共に守れるか。
"We are in this together"
―――
Collective Defense
I have introduced three concepts that form the foundation of how I define cybersecurity:
- Human-Centric Cybersecurity -- protecting humans in cyberspace
- Proportional Defense -- security that fits what we are and what we have
- Collective Defense -- security as both an individual craft and a shared practice across teams, organizations, industries, and nations
Today, I want to complete the third concept.
Cybersecurity as a Team Sport -- Built on Trust, Not Heroes
Working and living across different countries, I eventually came to a simple conclusion:
No one is perfect.
No organization is perfect.
No country is perfect.
People criticize themselves, their teams, their organizations, and their countries--and I don't think that is automatically a bad thing. Every place has strengths and weaknesses. As long as people are treated and respected as human beings, there is nothing wrong with acknowledging imperfection.
In fact, I often say this:
It is a good thing that we can complain.
The ability to complain means we are free--free to speak, free to question, and free to improve. Silence is far more dangerous than criticism.
And yes, I agree: in many areas, cybersecurity in Japan is behind. We need to catch up. There is real work to be done.
But that does not mean it is bad.
It simply means it is unfinished--just like in many other countries, in different ways.
Learning From Others--and Then Going Further
When Japan opened itself to the West, importing and imitating foreign ideas became a national learning pattern. I still hear the same advice in cybersecurity today. And I agree--importing is useful. Imitation is useful.
But importing alone is not enough.
Imitation alone is not enough.
One of Japan's true strengths is what I call imitative creativity: the ability to learn from others, then refine, adapt, and improve--to make things more practical, more resilient, and sometimes more elegant.
Japan has never lacked creativity.
It has sometimes lacked confidence in applying it.
I believe it is time to apply that strength to cybersecurity as well.
So please don't misunderstand me. I am not criticizing Western approaches, nor am I saying that "your way" is wrong. I am suggesting something different:
We should use Japan's strengths to compensate for Japan's weaknesses, and build cybersecurity that truly fits Japan--its culture, its organizations, and its people.
This is why, when discussing proportional defense, I often advocate for "cybersecurity fit for Japan." Not simply imitating Western, European, or American models--but tailoring cybersecurity to Japan's reality.
Every country has strengths and weaknesses. Japan is no exception.
And one of Japan's strengths--among many--is its collectiveness.
That collectiveness has deeply shaped how I think about security.
It is also why I consistently advocate the concept of Collective Defense.
What I Mean by "Collective Defense"
Here is how I define Collective Defense:
Collective Defense is cybersecurity designed so that no one is left behind--where individuals and groups complement each other's strengths and weaknesses, share responsibility, and act together, so that an attack on one does not become a collapse for all.
Collective defense is not a feeling; it is an operational model.
The key word here is complement.
Some people are highly skilled.
Some are less tech-savvy.
Some have time and budget.
Some are resource-constrained.
Some are trained responders.
Some are children, beginners, or simply overwhelmed.
A healthy security ecosystem does not shame these differences.
It designs around them.
And it protects those who need protection--
without turning protection into dependency.
Not heroes.
Not lone experts.
Not "better than you."
But teams, trust, and shared responsibility.
Trust becomes measurable when it shows up as shorter decision cycles, clearer escalation, and calmer coordination under pressure.
Because cybersecurity is not an individual sport.
It never was.
From the Military to Cyberspace
At its simplest, collective defense can be summarized like this:
One for all, all for one.
This is not just a nice phrase. The concept comes from the military world, where collective defense describes a shared obligation: an attack on one is treated as an attack on all.
Cybersecurity is not kinetic war.
But the logic translates surprisingly well.
In a networked world, incidents do not stay local. Cost, risk, and disruption spread far beyond a single boundary. A local failure quickly becomes a systemic weakness.
That is why collective defense matters in cyberspace--not as ideology, but as reality.
Not through fear.
Not through hero worship.
But through design, trust, and cooperation.
Because resilience is not built by standing alone.
It is built by standing together.
Four Common Misunderstandings
1) "One for all" does not mean dependency
Collective defense does not mean reliance.
It does not mean someone does nothing and expects the group to carry them.
It means the opposite: each individual works hard to become resilient--but in their own way.
Not everyone contributes the same way, and that is the point.
Some build systems.
Some detect threats.
Some communicate clearly under pressure.
Some educate.
Some coordinate calmly during chaos.
Collective defense is not uniformity.
Team play still demands excellence--each person striving to be the best at what they do.
Leadership is about stitching those individual strengths into one resilient whole.
That is coordinated strength.
2) "Collective" does not mean "no leader"
We need leaders--especially in emergencies.
In cybersecurity, I often borrow a principle aligned with military thinking:
In an emergency, a leader must lead--meaning they must actually be able to lead.
So the real question becomes: how can a leader lead in an emergency?
My answer is simple: only with accumulated trust from daily work and daily life.
Trust is not built during a breach.
It is built before the breach--through competence, consistency, care, and honesty.
That is why artificial or hypocritical leadership does not last.
I have seen many good leaders.
And I have seen catastrophic ones.
From experience--and supported by leadership research--I believe effective leaders share a few essential traits:
They are self-aware.
They understand what they are doing and the consequences of their actions.
They can imagine themselves and others across past, present, and future.
They have humanity--and they allow others to flourish.
People do not follow leaders because of titles.
They follow leaders who care.
3) "No hero" does not mean "no excellence"
When I say collective defense, I am not saying we do not need excellence.
I am saying we should never build cybersecurity that depends on a single hero.
Hero-based security is fragile:
• heroes burn out
• heroes become bottlenecks
• heroes leave
• and when they leave, the organization collapses
Collective defense is resilient precisely because it distributes capability, responsibility, and trust.
A leader cannot be a hero.
They cannot know everything.
They cannot do everything.
Instead, leaders must create conditions in which others can flourish--by recognizing individual strengths, understanding limitations, and deliberately connecting people so that strengths complement weaknesses.
This is demanding work.
And many leaders find it difficult.
Some retreat and blame circumstances or people.
Some choose silence--seeing nothing, hearing nothing.
Others turn to control and dictatorship.
When that happens, teams do not become stronger.
They become quieter.
Energy is wasted navigating politics--
when it should be used to face the real threat together.
4) "Collective Defense" does not mean putting others first
There is one more misunderstanding I want to address.
Collective defense does not mean sacrificing yourself, your team, or your organization for others.
In cybersecurity, responsibility is clear.
You protect yourself first.
You protect your organization first.
Just like on an airplane, you put on your own seat belt before helping others.
That is not selfishness.
It is professionalism.
Collective defense only works because each organization takes its own responsibility seriously.
We secure our own systems first.
We stabilize our own environment first.
And then--when we can--we share, warn, support, and help, so that others do not fall the same way we did.
Collective defense is not instead of individual responsibility.
It is built on top of it.
What Collective Defense Looks Like in Practice
Collective defense becomes real when:
• people share lessons learned instead of hiding failures
• teams practice together before incidents, not only during them
• leaders invest in trust during calm times, not only in crisis
• organizations share threat intelligence without ego
• industries coordinate instead of competing in silence
• nations collaborate to strengthen capacity and resilience
This is not charity.
This is strategy.
Because in cyberspace, isolation is not independence.
Isolation is vulnerability.
And this is not just theory.
I have experienced this myself.
When I was hit by a serious incident, help did not arrive loudly or publicly. It came quietly--almost invisibly--but decisively. A peer was sent to support me from a rival organization. No announcements. No credit. Just action.
In that moment, we left competition in business behind.
What mattered was not market share or reputation, but responsibility--to protect systems, people, and trust. The real enemy was not each other; it was the shared threat moving across networks without respect for borders or competition.
This is rare in most professions.
In cybersecurity, it happens.
That "we are in this together" spirit is one of our quiet strengths.
And it is why I choose to contribute--
to my peers,
to my industry,
and to my country.
Because I have seen it firsthand.
We are in this together.
Closing
I began with imperfection, because collective defense begins there.
If no one is perfect, we must design security that assumes imperfection.
If some are stronger today, they should lift others--without humiliation.
If some are weaker today, they should be protected--without being spoiled into dependency.
Collective defense is not a slogan.
It is a daily discipline.
So I will end with questions--because questions are how real security cultures are built:
Are you building a team that can function without heroes?
Are you accumulating trust before the next crisis arrives?
Are you using individual and collective strengths to complement weaknesses?
Because in the end, cybersecurity is not only about stopping attacks.
It is about whether we can protect humans, fit security to reality, and stand together--when it actually matters.
One for all. All for one.
Because cybersecurity is not an individual sport.
It never was.