SQAT^® Security Report 2017年9月号

レジリエンスからAI IoTまで

本年4月、奈良先端科学技術大学院大学に「サイバーレジリエンス構成学研究室」が発足し、多方面から注目を集めている。

「レジリエンス(resilience)」とは一般的に「回復力」と訳される用語だが、サイバーセキュリティの文脈では「事故・被害が生じた場合にすみやかにシステムや事業を回復させる力」を意味する。同研究室では、「事故・被害は発生するものである」という前提に立ち、官民のさまざまな組織と連携して、侵入の早期検知や被害軽減を図るための方策に取り組んでおり、BBSecも共同研究メンバーの一員である。本特集では、同研究室を率いる門林教授と、当社取締役で海外・先端技術分野を統括する安藤が、これからのサイバーセキュリティを考える上で鍵となるコンセプト、テクノロジーを縱橫に語り合う。

---

「サイバーレジリエンス」とは何か

安藤：門林先生、早速ですが、奈良先端科学技術大学院大学にこの春新設された「サイバーレジリエンス構成学研究室」について伺いたいと思います。研究室発足のパーティーに、僕、出席させていただいたので、発足したのは知っています。ただ、「サイバーレジリエンス」とは耳慣れない言葉ですよね。どっちの方向に舵を切っていくのかなっていうのが、はっきりとはまだ僕には見えてない。その辺はどうでしょうね。

門林：実は今年度教授に就任するにあたって、学長からちょっと目立つことをやれと言われました。それで、じゃあ目立つことって何だろうとまず考えた時に、名前、というか言葉の選び方だろうと思ったわけです。「サイバーセキュリティ」って、今、割とホットなキーワードになっていて、新聞とか経営者の方とか、技術者の方とか、もう重要性は認識されるようになってきたと思うんです。私もサイバーセキュリティの標準化に8年ぐらい関わっているんですけれども、ある程度社会的に認知されたというか、社会的にも技術的にもメインストリームなアジェンダになってきたな、と。ただ、その中で、サイバーセキュリティを横目に見ている技術者の方、例えばネットワークの技術の方などは、サイバーセキュリティの取り組み全体に対して少し不安感を持っている。

なぜかというと、例えばBlack Hat*1 世界最大規模の年次セキュリティカンファレンス。最新の知見や研究成果が多数発表される などのサイバーセキュリティのカンファレンスに行くと、脆弱性をとにかくすごくショッキングに報道する。システムがハッキングされますとか、IoTのハッキングが問題だ、みたいに煽るような論調になりがちです。一方で脆弱性が見つかったあとの本当に難しいところ、「それをどうやって現場で直していくのか」とか「実際にそれをどうやってお客様に伝えていくのか」といったことにはあまり触れない。問題はそこなんですよね。お客様に売ってしまったあとに本当の問題が見つかった時のフォローアップ、そこからどうやって直していくのか、現場で、そういう問題がある機器なんかを使いながら、どうやってダメージコントロールをしていくのかというところが大きな課題認識だったんです。で、それを一言で言い表すと、「サイバーレジリエンス」でないかと考えているわけですね。一方、「サイバーレジリエンス」というものをどう作るのかっていうところは、これはまだわかってないんですよ。大学の研究室なので、わかってないことをテーマにしたほうがよくて。ここで「『サイバーセキュリティ』の研究室を作ります」と言っても、ある意味僕にとっては手垢のついた言葉です。10年ぐらい前からやっているわけですから。

「サイバーセキュリティ」という単語は、その言葉が一般認知されるようになった段階で、学問的なフラッグシップの役割を終えたと思っているんですよ。で、次のキーワードを探した時に、これは「サイバーレジリンス」だろうと。どうやって「やられる（攻撃される）」ことを前提に普及させていくのか。ダメージを最小化していくのか。あるいは、ダメージコントロールの前提になるようなリスクコミュニケーション、そういったいろんなことを若い人たちと一緒に考えたい。「サイバーレジリエンス構成学研究室」の「構成学」というのも同じで、どうサイバーレジリエンスを作るかっていうことも、僕らを含めてわかっていないんです。どんな技術を組み合わせるのか、クラウドでやるのがいいのか、あるいはIoTでやるのがいいのか、あるいは非常にデバイスを安くして問題を解決するのか、あるいはソフトウェアの作り方を変えればいいのか。そういうところもいろんな自由度があって。若い人の発想ってすごく柔軟じゃないですか。その発想を取り入れながらサイバーレジリエンスを作っていければなあと思ってこういう講座名にしました。この「サイバーレジリエンス構成学研究室」を作る、という段階で、かなり大きな手応えがありました。民間の方も結構サイバーレジリエンスっていう言葉に鋭敏に反応されて、セミナーがあちこちで開かれたり、メディアにも取り上げられました。

「レスポンス」から「レジリエンス」へ

安藤：一言で言うと、「後手の先をどう取るか」っていう課題なんですよね、きっと。

門林：そうですね。

安藤：やられるのはやられるんだけど、そのあとの対応をどう取って被害を最小化するかっていう課題。難しいですよね。

門林：そうですね。旧来型な考え方で言うと、「やられました」＝「インシデントレスポンス」だったんですよ。けれども、僕はインシデントレスポンスに限らないと思っているんですね、サイバーレジリエンスっていうのは。例えばDDoSなんかそうですけれど、あれもある意味防ぎようがないですよね。それこそ、「いっせーの」って感じのDDoSが来るわけで、それでやられるのはもう仕方ない、という時に、インシデントレスポンス的な考え方で言うと、「対処しなさい」ということになる。その対処も、例えばJPCERT/CCに連絡してとか、お客様に連絡してとか、それこそ広報してとか。それを一般に「インシデントレスポンス」と言ってます。

だけど、サイバーレジリエンスの考え方でいくと、やはりインフラそのものも — 例えば「DDoSが来るのを前提に設計も考えないといけない」というところも入ってくると思うんですよ。最近だと「DevSecOps 」 *2 「Development」「Operations」「Security」を組み合わせた造語 なんて言葉もありますけれど、インフラを設計する段階、あるいは実際にソフトウェアを作る段階から「やられること」を前提に作っておくと、いわゆるインシデントレスポンスよりも自由度が高いと思うんですよね。「やられたらこのクラウドを使うことにしよう」とか、やられることを前提にシステムを二重化して日本とヨーロッパに置いとこうとか、いろんなことができるわけじゃないですか。

編集部：先生は普段から外国の学生たちと研究に取り組まれていると思いますが、国別で見ると、日本のレジリエンスに対する熱量はどれくらいなんでしょう。そういうことに対する危機感とか。

門林：日本は低かったんですよ、危機感は。ちなみに「サイバーレジリエンス」っていうのは、ヨーロッパでは政治的キーワードです。「サイバーセキュリティ」の次ぐらいのセキュリティキーワードです。私は2013年度から3年間、EUと日本の国際共同研究をしてたんですが、そのプロジェクトは、サイバーレジリエンスのプロジェクトだったんです。いわゆるビッグデータの技術、Hadoopとかありますよね。ああいうビッグデータの技術をサイバーセキュリティ・サイバーインフラストラクチャに提供して、どうやってサイバーレジリエンスを向上させるかっていうプロジェクト、「NECOMA（Nippon-EuropeanCyberdefense-Oriented Multilayer threat Analysis）」っていうのをやってたんです。これは、欧州委員会のサイバーレジリエンスの研究をしてくださいという公募だったんですよ。それぐらい政治的なキーワードなんですよね、サイバーレジリエンスっていうのは。

編集部：「サイバーレジリエンス」という言葉に対して民間企業からの反応も熱いというお話でしたが、どういった層で、どういった部門で、という特徴はありますか。やはり技術部門の方たちがまず立ち上がっているという状況なんでしょうか。

門林：いろんなところに仲間はいるんですが、マーケや営業の方面からも結構サポートいただいてますし、技術のトップ中のトップのような人も「サイバーレジリエンス、正しいと思いますよ」みたいな言い方をしてくれますね。

編集部：普段はお互いに意見を戦わせることの少ない部門の方が、色々なところから集まってくる場になりつつある、という感じでしょうか。

門林：そうなるといいな、っていうところですね。これからそういうのは作っていかないといけないと思ってます。インターネットができて40、50年近くになるんですかね、1969年の発明なので。産業界と大学の距離がどんどん開いてるんですよ、端的に言うと。昔、インターネットっていうのは研究者中心でしたから、企業も大学にお願いしてつなぐ、という面もあって、すごく距離が近かったんですね。僕らも企業の研究開発部門の方を存じ上げていて、大学と企業の研究開発部門が一緒になって日本のインターネットを作ってきた。セキュリティも一緒にやってたんですね。だけど、今、セキュリティもネットワークもすごく産業化してるじゃないですか。だから大学なんかに何も聞かなくても作れちゃうんですよ。非常に距離は開いてますよね。ただ、セキュリティのように、どんどん変わる状況で正解がないもの、技術革新が激しいもの―それこそIoTセキュリティもそうですし、最近のプラントだとかSCADA*3 upervisory Control And Data Acquisition。監視制御、データ取得を行う産業制御システム のセキュリティもそうですけれど― 正解がないものに対しては、産業界と大学の間に距離があるのはすごく不幸なんですよね。研究でも、産業界でも、今、ものすごい勢いでイノベーションが進んでますから。

安藤： 逆に僕から見ると、サイバーレジリエンスっていう言葉がウケた背景っていうのは、現場の、例えばISMSの枠組みであるとか、そういうもので構築したセキュリティを維持するための体制が必ずしもうまく回ってない、って認識があるからだと思いますね。「それ（うまく回ってない）はどうして？」っていうところから、みんなスタートしてるんだと思います。だから、CSIRTの次に来る概念だと僕は思っている。運用の話に落とそうとしているのがCSIRTですよ。セキュリティインシデントが発生した時にまさにインシデントレスポンスのPDCAサイクルを回すのがCSIRTだと考えるならば、そこにもうちょっと俯瞰的な目を入れて、「じゃあ仕組みをこういうふうにしていこうよ」っていうのを入れていこう、というのがレジリエンスだと思う。そう考えると、「現状がうまくいってない」と現場は感じているんだと思いますよ。だから食いつく。もしそういう状況がなかったら、「えっ？」って思うだけでしょう。でも、問題意識、課題意識を持ってるから、みんな食いつく。

編集部：真剣に悩み始めているという。

安藤： そう。真剣にならなきゃならないところが出てきたっていうことが、時代の変化なのかもしれないですけど。

門林：そうですよね。だから、大変な状況ではありますけどある意味チャンスですよ。インターネットを最初に作った時って、どうやって作っていいかみんなわかってなかったんです。学術と産業界で割と力を合わせてみんなでやったんですね。で、それが安藤さんの世代とか、そのちょっと上の世代とかを作ったと思うし、それが今の日本のIT業界の財産になってると僕は思うんです。今、サイバーセキュリティでも、サイバーレジリエンスでもそうですが、この解のない状況の中、若い人がいっぱいいるじゃないですか。これはチャンスだと思うんですよ。それこそ若い、大学の人たちも目をキラキラしてやってくれてるし、企業の方もしゃかりきにお仕事をされてるので、これ、いいことかなと思っています。

「ニーズドリブン」で「分業」を超える

門林：インターネットが実用化されてもう20数年経つんですが、今、運用する人とか、火消しをする人とか、開発をする人の分業が進みすぎていて、そこの発想ができなくなってると思うんです。僕も安藤さんもその頃から関わっているから感じるんだと思うんですけど、インシデントレスポンスの発想でいくと、「じゃあ、パソコンを取りあえずこうしましょう」とか、「ネットワークにSSLを設定しましょう」とか、すごく近視眼的な、小手先の対応、あるいは「お客様にコミュニケーションしましょう」となる。そうじゃないんじゃないかっていう問題意識が根底にあります。

安藤：分業化して、細分化して守ってるんで、その範囲でできること、対策っていうふうになると小手先になりがちだと。だけど本当は全部のシステムを上から俯瞰的に見て、こういう組み方をしたほうがいい、というような対策があるはずだということですね。そこに着目して、設計からそれこそ「レジリエンシーの高いもの」を作っていこうっていう考え方ですよね。わかりやすいんじゃないかな。

門林：僕はDevOpsの流れというのはすごく良いことだと思っていて、例えばブロードバンドセキュリティさんとか、ITサービスプロバイダの会社の方って、割とそういう意味で自然に、業務のニーズからして自然にDevOpsになっているケースが多いと思っています。というのは、自社のシステム、例えばメールサービスがあったとして、「このサービスを何とか良くしていかないといけない」というところで全社的に力を合わせようと思うと、自然と、「運用部門と開発部門が一緒に仕事をしましょう」っていう形になるじゃないですか。

これはすごくいいことで、従来の、「製造業・メーカーさんがいて、SIerさんがいて、ユーザさんがいる」っていう、ウォーターフォールモデルとは違うと思うんですよ。従来の製品の提供販売のやり方が典型ですが、メーカーさんが「こういう製品が欲しいだろう」という想像で作って、SIerさんが「あるものを売ればいい」という姿勢で売る。エンドユーザさんは、「こういう製品ですから仕様に沿ってお使いください」と押しつけられて、そもそも自社の枠に合わないのにオペレーションで頑張るわけです。それに対して、DevOpsみたいにニーズドリブンで行くっていうのはすごく大事だと思います。よくあるのが、教科書的な考え方。「JPCERTがあります」、「ISAC*4 Information Sharing and Analysis Center。セキュリティ関連の情報を共有し、組織の枠を超えた連携を促進するための機関。日本では「金融ISAC」「ICT-ISAC」等が発足している があります」、インシデントレスポンスに対して「ISO 27035があります」と、何か「既にきちんとしたものがあって、工夫したらちゃんとできるんだ」っていう、変な幻想があると思うんですけれど、現実そうではないんですよね。「DevOps」だって、後付けなんですよ。うまくいった会社さんが、例えばシリコンバレーだったり東京だったりで、いろいろ勉強会とかで話してる中で見出されてきた概念だと思うので、そこをニーズドリブンで行く。「CSIRT」とか「ISAC」とか「情報共有」とか「サイバーセキュリティ」もそうですけど、全部後付けでしかないっていうところですよね。そこに注意してやっていくのは大事かなと思います。

どんな人材が必要か

編集部：最近、「エンジニアよりも橋渡し人材が必要だ」といった議論が見られますが、どうお考えでしょう。

門林：そうですね。「橋渡し人材」っていう言葉が適切かどうか、ということはありますが、先ほどのニーズドリブンという話で言うと、「橋渡し人材」とは、恐らく、ゴールオリエンテッドに動ける人材のことだと思うんですよ。例えばそのゴールに向かっていくのに、ある時はCISOがいないといけない、ある時は社長を口説かないといけない、ある時は財務を口説かないといけない、ある時はカスタマーコミュニケーションをしないといけない、ある時は開発を口説かないといけないっていう場合に、セキュリティなりレジリエンスというものをビジネス目標にして、ゴールオリエンテッドに動ける人を「橋渡し人材」と言ってるんだと思うんです。決して、「技術の言葉と経営の言葉だけしゃべれれば橋渡し人材」というわけじゃないですね。

安藤： そうじゃないと説明もはずしちゃうんだと思いますね、ゴールが的確に認識されていないと。橋渡しの仕方を間違えることだってあるでしょうね。「本来はこうあるべきだからこういうふうに持っていくんだ」っていう話し方ができる人じゃないと橋渡しはできないよね。

門林：人材育成の議論で欠けてるな、と思うのは、「本気度」なんですよ。これは爆弾発言になっちゃうかもしれませんけど、本気でゴールに向かって目標を達成できる人っていうのを経営サイドは評価するじゃないですか。ビジネスの継続性が大事だ、顧客満足度が大事だ、そのために君は技術で何ができるんだ、あるいはどういうふうに技術チームを動かせるんだ、財務をどういうふうに口説けるんだ、…そういうところだと思うんですよ。本気度っていうのは。「最近就職に有利なんでセキュリティ頑張ります」みたいな感じだと、得られないわけですよね。「セキュリティで頑張って会社に潜り込みました」となっちゃって。それこそ、「人材育成プログラムで経営の言葉を覚えました」、「次は技術の言葉を覚えましょう」、「とりあえず流儀は覚えました」だと、「おまえ本気で仕事できるの？」って話になるじゃないですか。そこなんですよね、僕がすごく気にするのは。なので、本来的には教えなくてもできる人が欲しいんですよ。人材育成の話がすごく盛んなんですが、「教えなくても経営の言葉と技術の言葉を泣きながら勉強するやつ」が僕は欲しいんですよ。

安藤： 必要で覚えた人のほうが使える、僕もそう思いますね。入社して3、4年でセキュリティのことだけやって、「人材育成されました」って言ってるけど、「それって本当？」っていう話ですよね。僕なんかは多分化石人類扱いなんだろうけど、ずっと昔からやってる人っていうのは、技術的なことを全部一通りやっているんですよね。ネットワークもサーバも全部いじって。開発も運用も全部やって、自分でやって知ってますよ、と。泥くさいところも知ってます、という中でセキュリティを見ているっていうのと、分業化された中でセキュリティのところだけ— 脆弱性はこういうのがあって、管理はこうやってやんなきゃいけないとか、そういうフレームワーク — を覚えた人間とを比較すると、重さが違うよね。だから、人材育成で、「本当にそれでいいの？」っていう疑問は僕もずっと持ち続けていて。教えるのは否定はしないんだけど、それが役に立つのは何十年後なんだろう、っていう感想も同時に持ってる。泥くさいところなり、俯瞰的にものを見るだけの経験なりがないと、本当のところを判断できないんじゃない？って思うことが多い。「これはこれに優先させて社長止めてでも何とかしなきゃいけない」みたいなところができる人間じゃないと止められないことってあると思うので（笑）。そのレベルじゃないとできないことってありますよね、きっと。

門林：そうですね。人材育成っていうのは、僕らは生涯学習だと思っているんですけど。セキュリティってどんどん新しい攻撃が出てくるし、どんどん新しい製品とかサービスも出てくるし、クラウドとかIoTとか技術の革新もすさまじい勢いじゃないですか。日々勉強だと思うんですよね。で、日々勉強の中にたまたま、経営の単語も入っています、法律の単語も入ってます、営業の知識も入ってます。そういうことで僕はいいと思うんですよ。それでどのくらい場数を踏んだかだと思うんですよね。促成栽培で、「2年ぐらいのプログラムで人材育成できました」のような話ではなくて、継続的に、セキュリティ業界全体で、それこそいろんな会社さんの商売を任せられるシステムを、レジリエンスを高めることができる人を、どれぐらい育てていくか。社会の中にどれくらいそういう人が存在するのが望ましいかっていうことだと思うんですよね。「何百人作りました」のような、ワンショットで短期的に済む話ではないと思うんですよ。

編集部：若者の人材不足という点は、そこも含めて議論をしていく必要があるのでしょうか。

安藤： だって、もともと（人材が）少ないんじゃない？ないものねだりだと僕は思うよ。そういう経験ができる人って少ない。「大きなサーバを作りました」っていう人、どれだけいます？日本に。いないでしょ？あんまり。だからそういう人材はもともと不足してるんだと思うし、それをちゃんと拾って、セキュリティのわかる人に育てる機会も少ない。だから結果的に「少ない少ない」でずっと来てる。アプローチとしては、セキュリティの素養を大学の間にやっておいて、それがわーっと育っていって、ある程度の経験を積んだ時に、「こいつ、セキュリティもできるよ」っていう状態になってるのが理想像かもしれない。だから、今やってることは無駄ではないだろうと。効率は悪いけど（笑）。

門林：見ていて思うのは、業界全体が現状肯定から入ってると思うんですよ。こういうアプライアンスがあります、PCI DSS*5　 Payment Card Industry Data Security Standard の略。 クレジットカード業界の国際的セキュリティ基準 があります、こういう仕組みがあります、こういう決め事があります、こういう組織論があります、これで何とかうまく回しましょう、で動いてると思うんですが、今のままやるとあまりにも大変じゃないかって思うんです、僕自身は。例えば、フォレンジックするにしても、一千万円かかりますと。何でかっていうと、大変だからなんですよね。そこの大変さをなくすっていう努力を本当はしなきゃいけない、業界として。要するに、効率化ですよね。低廉化だったり生産性の改善、つまり、フォレンジックを1個5分でできるようにするにはどうするか、あるいはそれを5秒にするにはどうするかっていうところの技術開発だったりイノベーションが必要なんですけど、そこの問題意識がすごく欠けてると僕は思うんですよ。

編集部：現場が近視眼的な見え方しかできないというお話でしたが、そもそも、リーダーが舵取りできていないから現場が苦しむ、という面もあるのではないでしょうか。

安藤： システムの開発提案で、こういうサーバ置いてこういうアプリケーションを動かすんです、っていう提案だけが出てくるんですよ、放っとくと。「じゃあ、そのネットワークはどこに構築して、どこにその場所を置いて、誰がその実態の機器を管理するの？」って聞くと答えが返ってこない、というのは日常茶飯事ですよ。つまり、上で誰か勘案しなきゃいけないわけね。どっかで誰かが決めなきゃいけなくて、ちゃんと決めて持ってらっしゃいっていうことを言って返す。リーダーが舵取りできてないんですね。今回決められないなら、ちゃんと決めて持ってきてね、みたいなことってありますよ。「そこのラック、場所は空いてるけどもう電源はないよ」とか、平気であるわけですよ。誰がコントロールするんですかと、それを（笑）。近視眼的にしか見てないからだよね。交通整理する人もいなきゃだめなんですよね。あるいは、そのラックを管理してるのは「誰か」はそういうこと分かってるわけですけれど、その情報が会社の中でシェアされてない。

　

標準化の重要性

安藤： 例えばね、同じ開発系であっても、自分たちのオフィスの中で必要なソフトウェアを開発しているのと組み込み系の開発とではまるで違うし、用語も違うしモチベーションも違うし、どういうソフトウェアを作るがいいのかっていう、その価値観も違うんです。

編集部：それぞれの専門の中でサイロ化が進んでいるということですか。

安藤： そう。だから、組み込みの中ではいかにサイズを小さくするかとか、いかに安いハードウェアで上げるかとか、そういうモチベーションがあるけど、オフィスのソフトウェアを作ってる時にはないよね、そういうのは。

門林：ただ、それはずっと意識して闘っていかなきゃいけない闘いなんですよ。つまり、お客様のほうを向いて、ビジネスプライオリティだけで仕事をしていると、どんどんサイロ化って進むんです。お客様のビジネス要件とかお客様が使う用語とか、いろんなものに左右されるんですね。それはもう本当サイロエフェクトの最たるもので、それをずっと続けていくと人材流動性も高まらないですし、やっぱり標準化ができてないっていうことになるんですよ。概念そのものが標準化しないと会話ができない、教科書が書けない、教科書が売れないってことになりますから。例えば、自動車業界なんかが最たるものですけど、系列で随分と違うんですよね。だから、「本当に、それがいいんですか？」っていうのをIT業界は考えなきゃいけない。業界全体としてね。これはビジネスのコンテクストだけで数字を追いかけてると絶対出てこない話なんですけど、国際的にはすごく大事な話なんですよ。僕は国際電気通信連合* International Telecommunication Unionno。 国際連合の専門機関の一つ。 [/footnote]っていうところで単語の定義の標準化をやってるんですけど、例えば「サイバーセキュリティ」っていう単語の定義は、「X.1205」っていうリコメンデーションがスタンダードになっているんです。「サイバーセキュリティ」っていう単語は2004年に定義されたんですが、それが国際的な国連の議論だとかいろんなところの議論で使われる礎になってる。単語の定義がしっかりしている、お互いにちゃんと意思疎通ができるっていうことは、社会全体として技術を考える上ですごく大事なことです。ただ、ここで僕ら標準化をやってるんですけど、儲からないんですよね、全然ね。

安藤：（笑）

門林：当然、国の研究所でやってるんで問題ないんですけど、やっぱりそういうことをITとして考えないといけないんじゃないかなあと思いますね。例えばISO/IECに関しても、メーカーの方とか国の研究所とかが人を出し合って、やってるわけですよね。それが主たる業務の人は少ないです、実は。ISO/IECに「SC 27」っていう委員会があるんですが、皆さんご存じのISMS、いわゆるISO 27000シリーズの標準化をやってるんです。アメリカもヨーロッパも同じような感じなんですよ。その27000、皆さんバイブルみたいに大事に拝んで仕事されてると思いますけれど、あれは別に何のギャランティもないんですよね。「これでやったら事故は防げます」というものではなくて、「これでやったら訴えられません」ということでもなくて、そこは何もギャランティがないんです。なぜならば、片手間だからですよね。イギリスでやっていた「BS7799*6 英国規格協会（BSI）が策定したISMSの規格」っていうのがあって、これがいいんじゃないかっていう話で、イギリスが持ってきて、アメリカもドイツも日本も、ほかにいい提案がないからこれ呑んで標準化するか、って。そういう話なわけですよ、結局ね。国際標準って、皆さん何か「すごい人がすごいリソースかけて作ってる」と思ってるかもしれませんけど。もちろんコストはかかってますよ。すごい人が動いてますから。年に何回も世界中でミーティングしてますし。1回で1億かかるようなミーティングもあります。ただ、そこで作ってる標準っていうのは、ギャランティはないです。ある意味「欠陥が見つかったら直しましょうというスタンスでやっているから受け入れられている」というものですよね。

安藤：中身を細かく見ていくと、2013年で大きく変わった部分がいくつかありますけどね。パスワードの扱いとかはだいぶ記述が変わっているんで、そこはやっぱり、「まずい点が出てきて変わる」っていうプロセスが正常に動いているんですよ。アメリカの「SP 800-63」*7 米国国立標準技術研究所（NIST）が作成した電子認証に関するガイドライン。「サイバーセキュリティ」という語は、ITU-TX.1205 勧告において定義された。 も、先日、リビジョン3ですか、出ましたよね。

門林：ええ。

安藤：そこでもパスワードの扱いは、連動して動いてるんですよね、実は。アメリカで使っている標準、日本で使っている標準があるけれど、みんな同じような議論を経て、それを反映した改訂がなされている。

門林：委員会には、パートタイムなんですが、それこそ10年選手、20年選手がたくさんいるんですよ。シニアメンバーは10年選手20年選手で、標準化をやってます。だけど、誰もそれが完全だとは思ってなくて、悪かったら直せばいいよ、悪いところがあったら言ってくれというスタンスなんですよね。そこが（日本には）伝わっていないんですよ。27000にしても、多分、皆さんいろいろ一家言お持ちだと思うんですけど、それを日本のSC 27の委員会に上げているかといったら上げていない。「現場でこういう問題があります」、「困ってます」という時に、「（委員会に問題を）上げてますか？」って聞くと、多分上がってないと思うんですよね。

安藤：SC 27には上がってないですね。議論の場は他にもあるので。そこで議論した内容が、例えばIETF経由で上がっていくか、ISOのまま、そのままいっちゃうか、みたいなパスで、いろんなところから上がってくる。あともう1つはやっぱり論文ですよね、主要な認識を変えるような論文が出てきたのを反映しているっていう流れはあると思います。パスワード変更で、「定期的な変更を強制するとロクでもないことが起こる」っていうのが統計調査の結果だと言われてますよね。そのベースはFTC（米国連邦取引委員会）の人の研究論文なんですが、そこでは統計調査をやって、まともなパスワードがつけられなくなっていくというのをちゃんと示して、その結果、定期的変更は一番エンドのユーザには課さないほうがいいよっていう結論になっている。それが、ISO 27001の2013年の変更に反映されています。SP 800-63も同じですね。紐解いていくと、ああ、この論文だっていうのはあります、ちゃんと。大体どのぐらいの時間感かっていうと、2013年の改訂、2013年にやってるじゃないですか。その新基準に沿ったパスワードの運用方法になってきたよ、っていう記事が、昨日（編集部注：2017年5月）に出ています。こういうパスワードの運用が新基準に沿った形になってきたよっていう記事が初めて出たなと思って僕は見てたんですけど。

門林：遅いですけど。そういうスタンスなんですよね。それはもう人対人で。

安藤：しょうがないよ、だってそれだけデカイんだもん（笑）。

門林：世界中のコンセンサス形成ですから。それこそ国で反対したり賛成したりしますので。

AIとセキュリティ — 「AIは使える」か？

編集部：AIはセキュリティにとってどのようなインパクトを持つとお考えでしょうか。

安藤：AIの話って、多分一般の人たちが思っているよりもはるかに身近で、最初に応用されたのは何かっていうと、「スパムフィルター」なんだよね。うち（BBSec）のサービスを作ったのは2005年ですが、その時点でもうAIの応用が始まっていて、スパムフィルターの中にその要素が入っていて、というところからスタートしてます*8 安藤執筆の下記論文を参照：『情報処理』Vol.46 No.7（特集「spamメールの現状と対策の動向」。今12年たって、情報をフィードバックするユーザの数が2ケタ億のオーダーに乗るところまで来ている。そうすると、学習させるスパムのネタは十分な数があります。使ってる技術はAIだけではないとは思いますが、精度は、99.9、その下の桁で各社がつばぜりあいをやっているところまでいってます。だから、応用例としてそこまでいってる例が1つあるんだっていうことは知っておいていいかな、と。皆さんAIという括りなもんだからあまり認識してないけど、スパムフィルターって「分類器」で、メールというコンテンツを入れた時に、「それはスパムである」、「スパムでない」って分類する機械、という話です。そういう認識は持っておいたほうがいいです。まあ、言ってしまえば、今AIっていうのはブームになってる。とはいえ、ここ5年ぐらいのスパンで新しい技術として出てきたのって、ディープラーニングですよね。それが出てきてブームになって、AIっていう言葉が20年ぶりぐらいで復活しましたというところで、みんなAIだ、AIだって言ってるんですけど、多分、応用範囲を拡張する話なのね。スパムフィルター以外でもどんどん使っていきましょうっていう動きだと思うんですよ。「そういう見方で、横目で見てるやつがいるよ」っていうところでどうですか（笑）。

門林：クラウドもそうだったんですけど、こういう「AI」のようなバズワードっていうか、ブームになる時っていうのはいくつかの技術的なシーズが成熟してるんですよね。例えばクラウドの時は仮想ネットワークとか、データセンターとか、いくつかの技術が成熟していた。AIも、先ほど安藤さんが言ったディープラーニングっていうのは1つの要素で、例えばGPUを使った並列処理であるとか、車の自動運転みたいなアプリケーションであったり、いろんなものが複合的に組み合わさってくる。あるいは、囲碁のように、コンピュータプレイヤーが人間のプレイヤーを打ち負かして社会的な現象として取り上げられるに至るイベントもいくつかあるし、技術的なことに加え、それをサポートする潮流もいくつかあるっていうことだと僕は思ってるんです。安藤さんが言われたように、いい技術っていうのは使われる時には一般人は気にしなくていいんですね。要するにスパムフィルターもいい技術だったので、これもAIの応用なんですけど、普通の人は気にしてないんですよ。いい技術って、見えないんですよね。実は、今話題になってるディープラーニングって、セキュリティ用途に使うとからきし効き目がないんですよ。あれは画像みたいな、多次元の連続系の情報には効くんですけど。コンピュータのデータっていうのは連続系のデータじゃないんです。要するにパターン認識できるようなものではないので。細かく言うと、「連続系」に対して「離散系」って言うんですけど、離散系なので、従来の機械学習アルゴリズムのほうが精度が高いんですね。うちの研究室でもやってみて確認しているんですが、「ディープラーニングはあんまりよくないね」という話は出ていて、これは、理論的バックグラウンドからすると当然です。ただ、一般の方から見ると、GPUだったり、それこそディープラーニングだったり、いろんな技術革新が組み合わさった瞬間に、化学反応が起きたように見える･･･というところで、少し違和感を持って捉えられている、警戒感を持って捉えられているのかなと思いますけれど。

安藤：AIって「人工知能」って訳されるから、怖いんですよね（笑）。

門林：今、一般的に自動運転とかメールのスパムフィルターとかでよく使われているAIと称されるものはほとんど認識器、分類器なんですよ。顔画像認証ってあるじゃないですか。「ドアの前でニコッってやるとドアが開く」ような。あれって結局顔認識じゃないですか。車の自動運転も基本そうなんです。車線の認識とか障害物の認識とか。メールだと「迷惑メールの認識」っていう認識問題なんですよ。なので、推論はしてないんです。「こうだったらこう」のようなタイプの推論、これはいわゆる90年代までのAIなんですけど、そっちは全然使っていなくて、いわゆる大人の知能・子どもの知能っていう話で言うと、「子どもの知能みたいなものの、性能が良くなりますよ」っていうのが今言っているディープラーニングとかの話なんですよね。それだけであって、それこそ、「人間の知能を超える何かができる」ような話じゃないので、僕ら「オーバーハイプ」って言いますけど、バズワードが拡大解釈されている傾向にあるのかなと思うんですが。

安藤：認識器の精度が上がった、あるいは画像を正確に「これはイヌの画像だ」って言えるようになったっていう進歩、それがここ5年の進歩です、と。だけど、推論エンジンとかって20年前と何にも進歩ないですよね？恐らく。

門林：そうです。

安藤：なので、そこが全く進歩してないと。

門林：セキュリティでインシデントレスポンスとか、セキュリティオペレーションの効率化をやろうとした時に、本当に必要なのは大人の知能なんですよ。それこそ標的型攻撃をキャンペーンとして認識するには、点と点を結びつけなきゃいけない。「ここでこういう攻撃が使われました→別のところでこういう攻撃が使われました→同じ手口が使われている→したがって彼らは同じグループだ。同じタイムゾーンで仕事をしている」みたいな推論があるじゃないですか。そこで推論なんですよね。そういう推論をするには大人の知能が必要で、そこの理論的進歩は実は全然ないんですね。

編集部：じゃあ、「AIでたくさんの人が失業する」ことはない、と。

安藤：分類を正確にできるようになって失業する人って、多分それだけでもいる。例えばトラックドライバーって、安全対策も必要ですけど、「車線をこうやって保って運転してる」っていうのがメインの職業だよね、究極に言っちゃえば。そういうところっていうのは多分一番先に「人じゃなくてもできるんじゃない？」となって、職を失うことになる。だから、レジ打ちとトラックドライバーってよく言われますね、「ここ10年でなくなるんじゃないか？」というのは。

編集部：AIがバズワードになっている背景には、マーケティング自動化の動きがあるように思います。例えば、SNSで「このユーザの写真にバスケットコートが写っているから、関連商品を売ろう」とか、これまでと違うことができると売り込むキャンペーンが盛んですよね。

安藤：「こういう傾向が出てる」っていうのを自動認識するのはある程度できるかもしれないけど、そこから次の動きを推論する、「これはこうだからこうじゃないか」って考えるっていうことはまだできていない。ただし、キラキラして見せることはできる。

門林：できますよ、それは。それこそ、Splunk*9 様々なITシステムから生成されるマシンデータを処理するビッグデータ分析用ソフトウェア の何とかのエンジンで機械学習使ってます、とか、言おうと思ったら言えるじゃないですか。要するに、そういうマーケティングだと、今AIとかディープラーニングって言うとお金がつくので、そうやって商売してる方が多いということだと思うんです。セキュリティも今、「機械学習を使ってサイバーセキュリティをやる」ってスタートアップがアメリカではたくさん出てきてますし、実際それでお金もついてます。ただ、そこの（機械学習を使う）根底は何かっていうと、「どうでもいい認識を、コストの高いアナリストにやらせたくない」。今のセキュリティ—業務ではSOCの監視とか、ログが延々あるじゃないですか、SIEM*10 Security Information and Event Management。ソフトウェアが出力するイベント情報を一元的に収集して分析することにより、脅威や攻撃への対応を支援するシステム にしてもIDS*11Intrusion Detection System。ネットワーク上のパケットを監視し、不正侵入を検知するシステム にしても。それは人間が見てたりするわけですよね。「本当にそこは人間がやんなきゃいけない」っていうところはあるわけですよ。ソースコード診断にしても、ソースコードは延々何十万行もあるわけじゃないですか。その中から脆弱性を見つけるという時、本当に「人間がやらなきゃいけない」のはどこなのか。全部人間がやってたらもたないぐらいのデータ量があったりするわけでしょ。ネットワークもどんどん速くなっているし。だから、機械を使ってある程度人間の作業を本質的なところに絞っていくっていうのは不可逆ですよね。もうこの流れは変えられない。

編集部：「AIが付加価値を創出する」ということではないんですね。

門林：そうですね。セキュリティはそもそも生産性が低い業界だと僕は思っていて。機械学習を使って、それこそDoSの検知とか、研究ではいろいろやっているんですけど。ボットネットの解析とか、そういうのはもう10年来、15年来ぐらいの課題なんですよ。いろんなところにそういう機械学習なりパターン認識なりっていう技術を取り入れて対策のコストを下げていく、あるいは解析の時間を短縮していく。これはもっと皆さんやればいいと僕は思ってるんです。オペレーションの方ってそのオペレーションを回すのが精一杯じゃないですか。そこで何か新しい技術を投入してオペレーションを自動化する、とはなっていないので、そこがちょっと見ていてもどかしいところではあるんですけど。

安藤：分類器だから、「これは本当に対応が必要なものかそうじゃないか」ぐらいの勢いで分類はできるわけですよ。人間はその対処が必要なほうだけ見ればいいっていう使い方ですよ。でも、最後の判断は人間ですよね？

門林：そうです。人間が持ってる嗅覚、すごいですよね。縮退した情報というか、膨大なログとかからの情報を少しずつオペレーターに見せても、おかしいって思った瞬間、気づくんですよね。人間のメタ認知能力はすごいなと思います。あと、そういう認識を機械に任せられると人間は本来すべきことに集中できるじゃないですか。例えば、コーディネーションなんかそうですね、お客様に電話してとか、現場行って対応してとか。そっちの調整であるとか、そのほかの業務との連絡とか、そういうところは本当に人間にしかできないので。実は、セキュリティの現場って非常にクリエイティブでなければいけないと思っていて、これはロンドンオリンピックでCERTをしていた人たちの言葉なんですけど、彼らは「インシデントレスポンスはinventive（発明的）でなければいけない」と話していました。敵も人間じゃないですか。なので、いろいろ手を変え、品を変えやってくるわけですよね。その時に、次にこうきたらこの製品でやろうかとか、この製品の使い方を変えてやろうとか、このチームを配置転換してやろうとかっていう、いろんなinventiveな方法があると思うんですよ。

編集部：「やり方は柔軟に、トライ＆エラーも含めたいろんな判断を交えながら人間ならではの部分に英知を集結すればよい、プロセスとして自動化できるものは効率的にAIなりにやってもらおう」ということでしょうか。

門林：気が利いたITサービスプロバイダさんは、AIを何らかの形で使われてますよね。いろんな機械学習のアルゴリズムを使って、それこそログの解析を効率化したり、いろいろやってらっしゃいますよね。これはセキュリティサービスプロバイダとしては避けられない流れだと思いますね。

安藤：人がかかるところにどうやってうまく使って効率化していこうかっていう、その一環で始まるんですね。

編集部：例えばですが、一般企業の経営者や意思決定者がAIのサービスを売り込まれた場合、どういう点に気をつければいいのでしょうか。

安藤：ものすごい簡単な指標を1つ挙げるとすると、「そのAIの判定精度を聞いてみる」のがいいんじゃないかな。99％なのか、99.9％なのか、99.99％なのかのあたりで聞いてみることで、それがどのぐらい使える.かがわかるよね。スパムフィルターでは99.9をクリアするまではほとんど使い物にならないと思われてた。だけど、今の精度っていうのはちゃんとスパムがスパムフォルダに区分けされてて、メールが健全に使えるところまでいってますので、実用になってるわけですよね。だから、そこで完成度を聞くのがいいと思う。

編集部：小数点第3位レベルとか？

安藤：小数点第3位までいってるAIの応用って、残念ながら厳しすぎるので、昨今AIを使ってこういうふうなものを作りました、っていうところには98％ぐらいですかね（笑）。そのぐらいから始めたほうがいいと思いますけど。

編集部：それぐらいで「実用に耐え得る、しっかりした回答ができるデータがある」と評価できるわけですか。

安藤：必要なデータがあればね。開発する人は必ずそれを意識してやってるはずなので、どのぐらいの認識精度でその分類ができるんですか、と。「人の手を煩わせる作業をこうやって半分機械にやらせて」というケースでもある程度の精度は必要なので、そこから聞いてみるのがいいんじゃないかな。

門林：結局、分類とか認識作業じゃないですか。認識作業を機械で置き換えますっていうだけの話なんですよね、AIって言っても、突き詰めると。ただ、99.何％、いいところでそこまでなんですよね、ディープラーニングでやったとしても。「サポートベクターマシン」とかいろいろありますけど、95％以上は出る。その残りの1％なり5％なり取り逃したものを人間がハンドリングしないといけない。「それがどれぐらいのコストなんですか？」っていう話なんですよね。

安藤：AIだけでやろうとすると、学習モデルをどう拡張するんですかっていう話になります。だから、ただ「AI使いました」って言うだけだったら30年ぐらい前からあるベイジアンを持ってきて、使ったよ、って言えば使ったことにはなるんですよ。だけど、本格的な応用でどこまでいってるんだっていう話をする時には、認識率がどのぐらいで、もうちょっと言うと —フィルターの話と同じですけど — 誤検知がこれだけ、過検知がこれだけ発生しますというところまで見て、初めて本物って話になる。

門林：結局、イヌの画像を見せて、「これはイヌです」って、人間が教えなきゃいけないわけです。だから、「クラスラベル」って言うんですけど、AIに教え込むための人間の工数はかかる。「これがスパムです」、「これはスパムではありません」というのを延々やらなきゃいけないわけじゃないですか。それがある程度母数がたまらないと精度も出ないし、スパムもどんどんパターンが変わりますから、そこの工数はすごくかかるんですよね。編集部：例えば、いろんな種類のイヌがいる中で「これがイヌだ」という特徴を抽出して、抽象化しなければならないですよね。

安藤：ディープラーニングが勝手にやってくれるんで。

門林：ただ、オペレーターさんがいて、「これ、イヌ。これ、ネコ」ってやんなきゃいけないわけじゃないですか。延々やる人が必要なんですよね。

編集部：「相当なパターンを入れないと誤認識する」という。

門林：そうです。そういうデータがそもそもあるものだったらいいですけど、ないものだったら作らなきゃいけないですから。

安藤：確かGoogleでは、数十万枚の画像を認識させて、このぐらいの精度が出ますっていう論文が最初出たんですよね。だから、ディープラーニングでも、やっぱり最低でもそのぐらいは必要ですよという話ですよね。「イヌとそれ以外を取り混ぜて数十万枚画像を用意できますか？」という。

門林：AIの応用という時、大体最初に偉い学者先生を連れてきて、じゃあ、これやれって言ってやらせるじゃないですか。そこで最初に騒ぐのは「データがありません」って話なんですよ。要するに、ラベル付きデータがいるんです。「これがDDoSです」、「これはDDoSではありません」みたいなラベルを付けたものを提供しないと、彼らは分析精度も何も言えないんですよね。

編集部：ただデータがあればいいわけじゃない、ということですね。

門林：はい、そうです。

編集部：そのラベル付けは人間でないとできない。

門林：そこがコストなんです。

安藤：そういうところも考えると、スパムフィルターに応用したっていうのは大正解だね。とんでもない数が来ますし、人間が判断して、これスパムだったらレポートしてくれます、っていうところからスタートしたから。うまかったと思いますよ。

編集部：私たちユーザは、全く意識しないでメールを使っています。

安藤：皆さん、スパムフィルターの中にがんがんAIの要素が入ってるなんて夢にも思ってない（笑）。

　

IoTとセキュリティ — 脅威か？機会か？

編集部：IoTについては、どうお考えでしょう。

安藤：IoTっていうのは、実はデータをめちゃめちゃいっぱい生み出すフレームワークなんですよね。じゃあそれをどうやって処理していくんだ、っていうところからAIと結びついて発展が期待される分野になってる。技術のフレームワークとしてデータをそんなに大量に生み出した時に人間がそれを全部見ていられるか？ 見ていられません、と（笑）。そこでAIの応用、っていうところで始まっているんだけど、「じゃあIoTの足回りってセキュリティどうなの」っていうのが心配なんじゃないですか。上のほうはAIで何とかすると考えておいていいかもしれないけど、でも、元のデータ化するところを嘘つかれたらどうするの？っていうところでセキュリティが必要になる。そこで、IoTのセキュリティも徐々に問題化してきている。

門林：IoT、そうですね。「IoTのセキュリティ」って、もちろん、IoTそのものの安全性に対する懸念っていうのもありますけど、IoTを使ったからこそできるセキュリティもあるんですね。両方あると思っているんですが、ほとんどの技術的な議論は前者なんですよ。「IoT、大丈夫なんですか」って皆さん聞かれる。クラウドの時もそうでした。「クラウド、これ、大丈夫なんですか、使って」って聞かれます。でも、実際にはクラウドを使うとサーバって1秒もたたないで作り直せるんですね。なので、やられたら作り直したらいいじゃない、っていう発想ができるようになったんですよ、クラウドのおかげで。これはレジリエンスですよね。レジリエンスの1つの実現方法です。これがDockerとかのコンテナ技術を使ってできるようになった。これはすごいことなんですよ、実は。IoTでも恐らくそういうことが起きると思っています。IoTだからこそ、「何か1個落ちても大丈夫だよね」とかね。あるいは、部屋そのものが認証装置になっていて、この部屋の中に安藤さんがいることがわかっていて、かつ、安藤さんのMacがこれだってわかっていた場合、「この部屋に居るから、安藤さんは、この操作ができる」と言える。そういう、場所に紐付いたようなこと。例えば、「サーバルームに行かないとできない操作」とか「経理部門に居ないとできないような操作」とかあってもいいと思うんですけど、今の認証ってそうなってないんですよ。場所とか文脈の情報とかを全く考慮しないで、ID・パスワードで認証するじゃないですか。でも、本当は、ハイリスクな操作や会話をするっていうのは、それなりの場所なり文脈なり、周りの環境っていうのがあるはずで、そういうのを考慮したようなセキュリティっていうのが考えられるんですよね、将来的には。今、たまたまそれが2要素認証っていう形ですごく不便に実装されています。「あなたはこれを持っています、USBを挿します、あなたはパスワードを知っています、したがって、あなたは確実にあなたです」—こういうのが2要素認証なんですけど、すごく不便ですよね、挿さなきゃいけないから。最終的には、部屋の中にいろいろ、それこそ、蛍光灯が何かがIDを出していたり、Bluetoothで壁に埋め込まれていたり、そういう情報を総合的に勘案して、「ここに居るのは安藤さんです」と言えるような形になると思うんですよ。要するに乗っ取りができにくくなる。

編集部：「IoTとセキュリティ」と聞くと、「乗っ取られたらどうしよう」とばかり考えていました。

安藤：多要素認証じゃなくて、「多人数ドメイン認証」があってもいい。「ここに座ってるのは安藤だよ」ってみんなわかってるから不思議に思わないわけで、怪しいやつが来て、ここで何か操作してるとなったら、みんな怪しいと思うわけだよね。そういう認証があったっていいわけですよ、仕組み的には。

門林：リアルなセキュリティとサイバーのセキュリティを紐付けることに成功してないんですよ。だから、どこかから入ってきて、ファイルをパクられるわけですよね。でも、リアルのセキュリティと紐付けることによって、それができにくくなるんじゃないかと。

安藤：この部屋のこの席にいて、PCをいじってる、このIDでログインしてる、顔認識したら安藤ってやつだ、合ってるからOK、みたいな。

編集部：一種のパラダイムシフトにも思えます。

安藤：でも、昔から、「じゃあツケといて」って顔でやってるわけでしょ。みんな分業化して、通信のところから何とかしようとか、デバイスから何とかしようとか考えてるけれど、そうじゃないですよ、と。例えば、監視カメラの画像から、振る舞いがおかしいって検知する仕組みは実用化されているよね。だから要素技術はできている。走ってるとか、転んだとかいうのが検知できる仕組みはもうあるわけです。それを銀行の現場に取りつけた時に、「こいつ、いつもと違うことやってる」というのはわかりますよ。

門林：ただね、ATMを作った時は横領できそうな機会を減らすとか、そういう意図があったわけじゃないですか。それでATMを作ったわけでしょ。でも、やっぱり、ATMごとフォークリフトで持って行ってしまうような、いろんな攻撃があるわけですよね。とはいえ、それでも僕はIoTの可能性に注目するべきだと思っています。危険性ばかりが言われるんですけど、それだと全然、経済的インセンティブが働かないんですよ。誰も作り直そうと思わないし、結果として、「LinuxをRaspberry Piに入れて」とか、何か高校生の工作のような話でIoTとか言ってるのがほとんどですよね。それは経済的インセンティブが働かないからですよ。イノベーションすることによって、巨大なマーケットがあるんだ、っていうのをみんなが認識して、「これはもうOSからしっかり作り直そう」とか、「無線もいいことだからどんどん無線使おう」とか、ポジティブに考えていいと思うんですよね。

安藤：今は入退室管理って認証のシステムと全く結びついてないでしょ。Active Directory構築しましたって言っても、入退室管理とは全く結びついていない。部屋に居ない人がログインしても、おかしいと思わないんだよね、システムは。だから、それをもうちょっと拡張すると、自宅からログインしましたっていう、「この人の自宅だから」っていうことがわかるようになるとかね。そういう世界が来てもいいわけですよ。

編集部：それを阻んでいるのは何でしょうか。

安藤：分業。俯瞰して融合させようっていう動きが弱い。

門林：でも、僕は可能性があると思っていて、例えばモバイルOSってどんどん変わってるじゃないですか。それこそAndroidとかiOSとか、どんどんイノベーション進んでますよね。モバイルはお金、マーケットインセンティブがあるので、彼らはイノベーションをどんどん続けてますよね。要素認証も結構積極的に導入してるし。モバイル系のプレイヤーが中心になってIoTのエコシステムでもイノベーションを起こすんじゃないかなと思ってます。皆さんご存じないかもしれませんけど、2要素認証のスタンダードを作っている「FIDOアライアンス」っていう団体があるんですが、そこの人たちは多分、次はこのUSBで挿すとかじゃなくって、無線とか、そういうのを考えてると思うんです。Appleもそうじゃないですか。iPhoneか何かを持っていくと自動的にロックがはずれるとかありますよね？

安藤：あります。電波をどうやって有効利用しようか、持ってるデバイスをどう有効利用しようかっていう話でいくわけですね。だけど、オフィスの中にこうやって入ってきて、認証、セキュリティにまで応用しようっていう発想には、彼らもまだなってないだろうと。残念ながら。

門林：そこら辺は割とスマートシティ的な話なので、どっちかっていうと日本のメーカーさんのほうが強いんじゃないかなと思いますけどね。

安藤：いや、でも、こうやって使おうとすると、こう悪用しようって考えるやつもいるわけで、例えば自動車のキーレスエントリー。キーを持ってると鍵開くよ、っていうやつ。あれ、破られたよね。たった20ドルのデバイスで。どうやったかっていうと、キーの電波を中継する装置を持って、1人がドライバーについて行って、中継して、鍵開けちゃう。車上狙い簡単にできるよ、っていうのがこの間明らかになってましたけど、今のIoTの認証も同じことができない？ 1人、そういうデバイス持ってる人について行って、中継して、悪いやつがここで何かやってる、みたいなことできちゃうでしょ。悪いやつは考えると思いますよ。

門林：いや、でもそれは、見た場数だと思いますよ。だからそのためにBlack Hatなんかにお金を払って毎年行くべきだと思います。FIRST* 12 Forum of Incident Response and Security Teams。セキュリティ対策の共有、連携を目的として1990年に設置された国際的なフォーラムだったり、非公開の会議にもどんどん出て。

安藤：事例をどれだけ知ってるか。過去の事例でどれだけこういうのがあったかっていうのを詳しく知ってるかで想定力の幅が大幅に変わる。攻撃側も過去の事例は調べているはずで、多分同じ技量なんですよね。同じ技量だけども、攻撃側の上前をはねて想像ができて対応ができる、こんなこともあろうかと想定できるということですよ。

門林：サイバーセキュリティって、いまだに皆さん、「原理原則で何とかなる」と思ってる人もいるんです。PDCAだとか。

安藤：（笑）

門林：最近だと、「OODAループ*13 米海軍で開発された意思決定手法。観察（Observe）-情勢判断（Orient）-決定（Decide）-行動（Act）というループを繰り返すことによって迅速・的確な意思決定を促進する。で何とかなる」とか言ってる人がいますけど、その原理原則だけ覚えて何とかなるものじゃなくて、これ、ボキャブラリーなんですね、「語彙」。どれぐらい場数を踏んだか、どれぐらいのケースを見て、詳細に分析したかだと思うんですよ。「ボキャブラリーが大事だね」っていうところがわかっていなくて、何か原理原則を吹聴して回る人が多いですよね。「OODAループで弊社もいきます」とか（笑）。

編集部：「ボキャブラリー」とは、具体的にはどういうことでしょう。

門林：例えば、東京を語ろうと思ったら、「新宿通りがあります。新宿通りも四谷のあたりは上智大学があってちょっと瀟洒な感じだけども、新宿まで行くとかなり雑然とした感じになります」と言える。今、IT業界そのものがすごく発達していて、何か路地とか通りみたいになってるんですよね、地図で言うと。それぞれに具体的なリスクもあるし、可能性もある。Pythonだったらこうとか、Javaだったらこうとか、Web系はこうとか、組み込み系はこうとか、各論がいろいろあるわけじゃないですか。それぞれの路地をどれぐらい歩いたかだと思うんです。「ボキャブラリー」というのは僕の例えですけど、それぞれ言葉が違うので「語彙」が要るんです。テクニカルな、ごちゃごちゃとした違いを無視して、原理原則で語ろうとする人は必ずいて、頭がいい人って必ず還元論で語ろうとするんですけど、僕はサイバーの話っていうのは還元論で語れるところって本当に限られてると思うんですよね。

安藤：例外だらけなんで、そんな原理原則でやっただけじゃ抜け穴だらけなのができるだけです。

編集部：なるほど、耳の痛い話ですが、原理原則に固執していては今後ますます激しくなるサイバーの脅威に対応できない、ということですね。― 原理主義に陥ることなく、色々な現場に飛び込んで分野横断的に語彙を身につけ、表層的な変化に惑わされず事の本質を見据える。これからのサイバーセキュリティを考えるヒントをいくつもいただけたように思います。本日は長時間有難うございました。

---

対談を終えて

サイバーセキュリティからAI、IoTまで縦横にディスカッションさせていただきましたが、これらの先端領域に共通することは「正解がない」ことと「技術の動作原理が分かっていないと、結局はどうにもならない」ということではないでしょうか。対談で言ったことも、イノベーションの結果として半年後に陳腐化している可能性すらあると思います。最近の例で言えばビットコインがそうでしょう。貨幣経済の世界にもいよいよインターネット技術の襲来かと思われたビットコインですが、取引高の急拡大にともない分裂する事態を招いています。ビットコインがなぜ分裂に至ったのか、という点については技術の動作原理が分かっていないと理解することができません。今後ますます技術の蓄積が進んで、技術の動作原理が分かっていないと社会現象の理解に苦しむケースが増えることでしょう。対談形式で、過渡的であっても、たとえ不完全であっても解説を試みることは、多くのステークホルダの皆様にとって有益なのではないかと今回あらためて感じました。業界全体でサイロ化が静かに進行する中で、「もともと一緒にやっていた人たち」のつながりを掘り起こして、今こそ大いに対談し、自由な発想をすべきではないかと思う次第です。（門林 雄基）

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

技術が高度化して分業が進んで、一方で全体を俯瞰できる者がいないという状態は、技術的なデマや煽りに対して大変脆弱だと言えます。その分野しか知らない人にはよその分野になると真偽を知る術がなく、簡単に騙される・付け込まれる要素が分業やサイロ化で構造的に作り込まれてしまっているように見えます。逆に言えば、動作原理からきっちり理解してる人がどれだけ組織の中にいるかが組織のレジリエンスを構成する鍵になっていくような気がします。「セキュリティは生涯学習だ」という言い方も多分そこらへんに絡んでいるのではないでしょうか。 （安藤 一憲）

---

門林 雄基
奈良先端科学技術大学院大学 情報科学研究科教授
国内外でサイバーセキュリティの標準化に取り組む。
日欧国際共同研究NECOMAプロジェクトの日本研究代表、
WIDEプロジェクトボードメンバーなどを歴任。

安藤 一憲
株式会社ブロードバンドセキュリティ（BBSec） エグゼクティブ・フェロー^※
海外および先端技術担当として、国内外の業界団体に参与。WIDEプロジェクト研究員、M3AAWGメンバー。
（※取材当時の役職になります。）

---

---