業界別診断結果レーダーチャート

Share

2019年下半期 Webアプリケーション診断

診断対象を業界別に分類し、当社報告書内で使用している、入出力制御、認証、セッション管理、重要情報の取り扱い、システム情報・ポリシーといったカテゴリごとに、検出された脆弱性をリスクの重大性で評価してレー ダーチャート化した。レーダーチャートの算出方法は、集計期間に検出された脆弱性の平均値から、システムごとに判定した結果の平均値である。今回は、オリンピック・パラリンピックを目前に控え、新しい試みを続ける観光・宿泊・運輸(航空・旅客)業などの「ホスピタリティ」業界をピックアップし、分析した。

「高」リスク以上の脆弱性が検出されたシステムであっても、正しい対処を施せば影響は最小化できる。また、事故を未然に防ぐための方法を、官公庁などがガイドラインや対策提言などとして発表しているので、これらも参考にしていただきたい。

ホスピタリティ業界

図1 検出された脆弱性の平均値

ホスピタリティ業界(観光・宿泊・運輸)分野のシステム脆弱性診断の平均値は図1のとおり。システム情報・ポリシーにおいてやや数値が低いものの、平均して大きな問題が検出されたシステムは少ない。

しかし注意を喚起したいのが、このレーダーチャートがあくまでも「平均」であることだ。殆どのシステムは平均値を上回る、あるいはほぼ平均値に近い値であったものの、大きく平均を下回るシステムも存在した。特に入出力制御とセッション管理においてその傾向が顕著であった。なお、システム情報・ポリシーは総じて平均に近い値であった。オリンピック・パラリンピックに向けて活況な業界の現状と課題について考えていく。

電子商取引(BtoC-EC)の活況と課題

2019年5月に経済産業省が公表した「平成30年度 我が国におけるデータ駆動型社会に係る基盤整備」によれば、日本のBtoC-ECのサービス系分野において、最も市場規模が大きいのが旅行サービスである。2018年のBtoC-ECの市場規模は3兆7,186億円にのぼり、全体の約56%を占める。ここでいう「旅行サービス」とは、旅行代理店への申し込み、航空機利用(国内便・国際便)、鉄道(新幹線・その他在来線)、バス利用、ホテル・旅館の宿泊費に関して、消費者の国内外を問わず日本の事業者に支払いが発生する市場を指す(ビジネスで利用する「出張」は除外)。牽引するのはインターネット専業の旅行代理店(通称:OTA :Online Travel Agency)で、国内のサイトをはじめ、エクスペディアやBooking.comといった外資系OTAも目立っている。特にインバウンドにおいては外資系OTA抜きでは成り立たないといっても過言ではない。

旅行サービス業においてBtoC-ECは、航空券やホテル予約における空席や空室といった「在庫」管理に直結している。例えば、客室数という確定サービス枠が存在し、空室を「在庫」として顧客に提示しインターネットを介して予約を受け付け、自動で在庫管理を行う形態は、「在庫数」が明確に定義できるサービスにとって非常に親和性の高い形態である。

しかし、市場が成長を続ける一方でセキュリティの甘さも課題として浮かんできた。

2018年にセキュリティ企業のTrustwaveが犯罪被害にあった世界19カ国の企業・団体など数千社を対象に行った調査結果では、宿泊業・旅行業を含む「ホスピタリティ産業」は、小売、金融に次いで3番目に被害が多く、全体の10%を占めた。特にクレジットカード払いができるシステムが狙われている。またセキュリティ企業のDashlaneが2018年に実施した調査では、旅行関連サイト55社の89%でパスワードポリシーや認証機構に問題があったとの結果が報告されている。さらにシマンテックの研究者による調査では、54カ国約1,500のホテルにおける67%もの予約サイトがサードパーティサイトに予約参照コードを意図せず漏らしているリスクを内包しているという報告がなされている。同調査では、ホテルサイトの4分の1以上(29%)が、顧客への予約受領のメールに記載している予約管理システムへのリンクを暗号化していないとも述べている。実店舗を狙ったサイバー攻撃は減少傾向にあるものの、電子商取引ではむしろ増加傾向にあるといえるだろう。

OTAに関しては観光庁が2015年に「オンライン旅行取引の表示等に関するガイドライン」を策定し、旅行業のオンライン取引で表示すべき内容やその表示方法について細かく規定した。しかしセキュリティ対策については触れられておらず、各企業・団体によって対策状況はまちまちであった。2016年、大手旅行会社・中堅運輸会社において情報流出事件が発生したのを受け、「観光庁・旅行業界情報共有会議」が発足された。「中間とりまとめ」において旅行業情報セキュリティ向上のため早急に講ずべき対策が提言され、2018年には「旅行業者における情報セキュリティ確保に係る安全ガイドライン」策定の予算が支出されたものの、2020年1月の段階では、公表されていなかった。ただし、社団法人日本旅行業協会/社団法人全国旅行業協会が2014年に「旅行のウェブ取引に関するガイドライン(改訂版)」を出しており、事実上これがスタンダードになっているともいえる。

一方、国土交通省ではサイバーセキュリティ戦略本部の「重要インフラ分野における情報セキュリティ確保に係る安全基準等策定指針」に依拠する形で、航空・物流・鉄道・空港の各分野に対し、個別に「情報セキュリティ確保に係る安全ガイドライン」を策定している。また、鉄道、バス・バスターミナル、タクシー、宿泊施設の各業種に対しては個別の「情報セキュリティ対策のチェックリスト」を公開して対策を促している。

インバウンドサービスの動向

ホスピタリティ業界において今年開催のオリンピック・パラリンピックを目前に脚光を浴びているのが、訪日外国人観光客を対象とするインバウンドサービスである。日本が「観光立国」を打ち出したのは今から17年ほど以前に遡る。小泉首相(当時)による「観光立国懇談会」が平成15年(2003年)に発足し、2006年には「観光立国推進基本法」が成立した。2015年以降、国際貿易収支上、観光業は「輸出産業」となっている。また、2019年の世界経済フォーラムの観光競争力レポートでは第4位と、2017年より2回連続で上位にランクインしている。日本の評価を押し上げた項目としては「安全・安心」、「保険・衛生」、「ICTの普及」がある。

世界観光機関(UNWTO)によれば、今後のインバウンドサービスのカギとなるのはデジタル技術、特にバーチャル・アシスタントとリアルタイムデスティネーションであるとしている。国土交通省では令和元年度の施策として、主要観光地の多言語対応、全国3万カ所の主要観光地・防災拠点で無料Wi-Fi整備を進めるとともに、「キャッシュレス・消費者還元事業」として中小・小規模事業者のキャッシュレス決済の普及に力を注いでいる。観光庁も、2018年には「外国人観光旅客利便増進措置に関する基準」、「公共交通機関における外国人観光旅客利便増進措置ガイドライン」を策定した。同ガイドラインでは「インターネットによる予約環境の整備」として「インターネット上でクレジットカード等による決済も可能であることが望ましい」としている一方で、セキュリティに関しては、「公衆無線LAN等を整備するにあたっては、以下を参照されたい」として、「Wi-Fi提供者向けセキュリティ対策の手引き」(平成28年総務省)、「公衆無線LANセキュリティ分科会報告書」(平成30年3月総務省)を挙げているのみである。

旅行者はパスポート、支払い情報、詳細な旅程など、データの宝庫を持ち歩く存在といえる。さらに旅行者は、旅行先では利便性を優先し、セキュリティ意識が通常より甘くなりがちであることから、攻撃者にとっては格好の「獲物」となりやすい。先のTrustwaveのレポートによれば、調査対象のアメリカ人の70%以上が公共のWi-Fiへの接続や公共のUSBステーションでのデバイス充電、Wi-Fiへの自動接続を有効化することで自分自身の情報をさらす行為をしていた。なお、個人旅行に比べビジネス旅行の方が、リスクの高い行動をとる人が多い。

新たな取り組み-VR/ARを活用した観光コンテンツ

こうした中、セキュリティ要件を組み込まないガイドラインを基に「VR/AR等を活用した観光コンテンツ」が独り歩きしている現実もある。VR(Virtual Reality:仮想現実)が現実世界から得られる感覚情報を遮断して人工的に再現した感覚情報に置き換えるのと対照的に、AR(Augmented Reality:拡張現実)は現実空間を起点としデジタル情報を付加し、CGや動画を合成表示する。RPGを現実の空間と重ねるスマホゲームなどがARの代表である。ARに固有のセキュリティやプライバシーを考慮する必要があると主張する研究者もいる。

2019年にはサイバーセキュリティカンファレンスRECONにおいて、VRのハッキングが紹介された。観光に関するVRコンテンツは観光庁・文化庁がそれぞれ個別にガイドラインを公表しているが、どちらもセキュリティ要件を含んでいない。また経済産業省の補助事業として、特定非営利活動法人映像産業振興機構(VIPO)が「VR等のコンテンツ制作技術活用ガイドライン2018」を公表しているが、やはりセキュリティについては触れられていない状況だ。データセキュリティのみならず、個人情報(位置情報)保護、プライベート空間権利(公的空間の境界)等の課題もある。これらに関して今春以降、矢継ぎ早にガイドラインが発行されることが予想されるが、現在設計・開発中の案件については、ガイドラインが発行されてからセキュリティ要件を追加することになり、いびつな構造になってしまう。

まずは設計・開発の段階から「セキュリティ・バイ・デザイン」の思想を実践するとともに、ガイドラインに盛り込まれるであろう最低限のセキュリティ要件は予め組み込んでおくことが肝要だろう。どんな要件がガイドラインに組み込まれるか、あるいはガイドラインの最低基準以上の対策が必要なものは何かといった、専門家の知見が必要になる。これからインバウンド関連の事業を展開するのであれば、是非にも開発段階からのセキュリティ診断を実施することをお勧めする。

図 2 国際観光収支の推移(観光庁資料より当社作成)
出典:https://www.mlit.go.jp/common/001186621.pdf

ガイドライン一覧

その他の業種はこちら



Share

<対談>門林 雄基 氏(奈良先端科学技術大学院大学 教授)✕ 安藤 一憲(BBSec エグゼクティブ・フェロー)

Share

SQAT® Security Report 2017年9月号

レジリエンスからAI IoTまで

安藤 一憲
門林 雄基 氏

本年4月、奈良先端科学技術大学院大学に「サイバーレジリエンス構成学研究室」が発足し、多方面から注目を集めている。

「レジリエンス(resilience)」とは一般的に「回復力」と訳される用語だが、サイバーセキュリティの文脈では「事故・被害が生じた場合にすみやかにシステムや事業を回復させる力」を意味する。同研究室では、「事故・被害は発生するものである」という前提に立ち、官民のさまざまな組織と連携して、侵入の早期検知や被害軽減を図るための方策に取り組んでおり、BBSecも共同研究メンバーの一員である。本特集では、同研究室を率いる門林教授と、当社取締役で海外・先端技術分野を統括する安藤が、これからのサイバーセキュリティを考える上で鍵となるコンセプト、テクノロジーを縱橫に語り合う。


「サイバーレジリエンス」とは何か

安藤:門林先生、早速ですが、奈良先端科学技術大学院大学にこの春新設された「サイバーレジリエンス構成学研究室」について伺いたいと思います。研究室発足のパーティーに、僕、出席させていただいたので、発足したのは知っています。ただ、「サイバーレジリエンス」とは耳慣れない言葉ですよね。どっちの方向に舵を切っていくのかなっていうのが、はっきりとはまだ僕には見えてない。その辺はどうでしょうね。

門林:実は今年度教授に就任するにあたって、学長からちょっと目立つことをやれと言われました。それで、じゃあ目立つことって何だろうとまず考えた時に、名前、というか言葉の選び方だろうと思ったわけです。「サイバーセキュリティ」って、今、割とホットなキーワードになっていて、新聞とか経営者の方とか、技術者の方とか、もう重要性は認識されるようになってきたと思うんです。私もサイバーセキュリティの標準化に8年ぐらい関わっているんですけれども、ある程度社会的に認知されたというか、社会的にも技術的にもメインストリームなアジェンダになってきたな、と。ただ、その中で、サイバーセキュリティを横目に見ている技術者の方、例えばネットワークの技術の方などは、サイバーセキュリティの取り組み全体に対して少し不安感を持っている。

なぜかというと、例えばBlack Hat*1などのサイバーセキュリティのカンファレンスに行くと、脆弱性をとにかくすごくショッキングに報道する。システムがハッキングされますとか、IoTのハッキングが問題だ、みたいに煽るような論調になりがちです。一方で脆弱性が見つかったあとの本当に難しいところ、「それをどうやって現場で直していくのか」とか「実際にそれをどうやってお客様に伝えていくのか」といったことにはあまり触れない。問題はそこなんですよね。お客様に売ってしまったあとに本当の問題が見つかった時のフォローアップ、そこからどうやって直していくのか、現場で、そういう問題がある機器なんかを使いながら、どうやってダメージコントロールをしていくのかというところが大きな課題認識だったんです。で、それを一言で言い表すと、「サイバーレジリエンス」でないかと考えているわけですね。一方、「サイバーレジリエンス」というものをどう作るのかっていうところは、これはまだわかってないんですよ。大学の研究室なので、わかってないことをテーマにしたほうがよくて。ここで「『サイバーセキュリティ』の研究室を作ります」と言っても、ある意味僕にとっては手垢のついた言葉です。10年ぐらい前からやっているわけですから。

「サイバーセキュリティ」という単語は、その言葉が一般認知されるようになった段階で、学問的なフラッグシップの役割を終えたと思っているんですよ。で、次のキーワードを探した時に、これは「サイバーレジリンス」だろうと。どうやって「やられる(攻撃される)」ことを前提に普及させていくのか。ダメージを最小化していくのか。あるいは、ダメージコントロールの前提になるようなリスクコミュニケーション、そういったいろんなことを若い人たちと一緒に考えたい。「サイバーレジリエンス構成学研究室」の「構成学」というのも同じで、どうサイバーレジリエンスを作るかっていうことも、僕らを含めてわかっていないんです。どんな技術を組み合わせるのか、クラウドでやるのがいいのか、あるいはIoTでやるのがいいのか、あるいは非常にデバイスを安くして問題を解決するのか、あるいはソフトウェアの作り方を変えればいいのか。そういうところもいろんな自由度があって。若い人の発想ってすごく柔軟じゃないですか。その発想を取り入れながらサイバーレジリエンスを作っていければなあと思ってこういう講座名にしました。この「サイバーレジリエンス構成学研究室」を作る、という段階で、かなり大きな手応えがありました。民間の方も結構サイバーレジリエンスっていう言葉に鋭敏に反応されて、セミナーがあちこちで開かれたり、メディアにも取り上げられました。

「レスポンス」から「レジリエンス」へ

安藤:一言で言うと、「後手の先をどう取るか」っていう課題なんですよね、きっと。

門林:そうですね。

安藤:やられるのはやられるんだけど、そのあとの対応をどう取って被害を最小化するかっていう課題。難しいですよね。

門林:そうですね。旧来型な考え方で言うと、「やられました」=「インシデントレスポンス」だったんですよ。けれども、僕はインシデントレスポンスに限らないと思っているんですね、サイバーレジリエンスっていうのは。例えばDDoSなんかそうですけれど、あれもある意味防ぎようがないですよね。それこそ、「いっせーの」って感じのDDoSが来るわけで、それでやられるのはもう仕方ない、という時に、インシデントレスポンス的な考え方で言うと、「対処しなさい」ということになる。その対処も、例えばJPCERT/CCに連絡してとか、お客様に連絡してとか、それこそ広報してとか。それを一般に「インシデントレスポンス」と言ってます。

だけど、サイバーレジリエンスの考え方でいくと、やはりインフラそのものも — 例えば「DDoSが来るのを前提に設計も考えないといけない」というところも入ってくると思うんですよ。最近だと「DevSecOps 」 *2なんて言葉もありますけれど、インフラを設計する段階、あるいは実際にソフトウェアを作る段階から「やられること」を前提に作っておくと、いわゆるインシデントレスポンスよりも自由度が高いと思うんですよね。「やられたらこのクラウドを使うことにしよう」とか、やられることを前提にシステムを二重化して日本とヨーロッパに置いとこうとか、いろんなことができるわけじゃないですか。

編集部:先生は普段から外国の学生たちと研究に取り組まれていると思いますが、国別で見ると、日本のレジリエンスに対する熱量はどれくらいなんでしょう。そういうことに対する危機感とか。

門林:日本は低かったんですよ、危機感は。ちなみに「サイバーレジリエンス」っていうのは、ヨーロッパでは政治的キーワードです。「サイバーセキュリティ」の次ぐらいのセキュリティキーワードです。私は2013年度から3年間、EUと日本の国際共同研究をしてたんですが、そのプロジェクトは、サイバーレジリエンスのプロジェクトだったんです。いわゆるビッグデータの技術、Hadoopとかありますよね。ああいうビッグデータの技術をサイバーセキュリティ・サイバーインフラストラクチャに提供して、どうやってサイバーレジリエンスを向上させるかっていうプロジェクト、「NECOMA(Nippon-EuropeanCyberdefense-Oriented Multilayer threat Analysis)」っていうのをやってたんです。これは、欧州委員会のサイバーレジリエンスの研究をしてくださいという公募だったんですよ。それぐらい政治的なキーワードなんですよね、サイバーレジリエンスっていうのは。

編集部:「サイバーレジリエンス」という言葉に対して民間企業からの反応も熱いというお話でしたが、どういった層で、どういった部門で、という特徴はありますか。やはり技術部門の方たちがまず立ち上がっているという状況なんでしょうか。

門林:いろんなところに仲間はいるんですが、マーケや営業の方面からも結構サポートいただいてますし、技術のトップ中のトップのような人も「サイバーレジリエンス、正しいと思いますよ」みたいな言い方をしてくれますね。

編集部:普段はお互いに意見を戦わせることの少ない部門の方が、色々なところから集まってくる場になりつつある、という感じでしょうか。

門林:そうなるといいな、っていうところですね。これからそういうのは作っていかないといけないと思ってます。インターネットができて40、50年近くになるんですかね、1969年の発明なので。産業界と大学の距離がどんどん開いてるんですよ、端的に言うと。昔、インターネットっていうのは研究者中心でしたから、企業も大学にお願いしてつなぐ、という面もあって、すごく距離が近かったんですね。僕らも企業の研究開発部門の方を存じ上げていて、大学と企業の研究開発部門が一緒になって日本のインターネットを作ってきた。セキュリティも一緒にやってたんですね。だけど、今、セキュリティもネットワークもすごく産業化してるじゃないですか。だから大学なんかに何も聞かなくても作れちゃうんですよ。非常に距離は開いてますよね。ただ、セキュリティのように、どんどん変わる状況で正解がないもの、技術革新が激しいもの―それこそIoTセキュリティもそうですし、最近のプラントだとかSCADA*3のセキュリティもそうですけれど― 正解がないものに対しては、産業界と大学の間に距離があるのはすごく不幸なんですよね。研究でも、産業界でも、今、ものすごい勢いでイノベーションが進んでますから。

安藤: 逆に僕から見ると、サイバーレジリエンスっていう言葉がウケた背景っていうのは、現場の、例えばISMSの枠組みであるとか、そういうもので構築したセキュリティを維持するための体制が必ずしもうまく回ってない、って認識があるからだと思いますね。「それ(うまく回ってない)はどうして?」っていうところから、みんなスタートしてるんだと思います。だから、CSIRTの次に来る概念だと僕は思っている。運用の話に落とそうとしているのがCSIRTですよ。セキュリティインシデントが発生した時にまさにインシデントレスポンスのPDCAサイクルを回すのがCSIRTだと考えるならば、そこにもうちょっと俯瞰的な目を入れて、「じゃあ仕組みをこういうふうにしていこうよ」っていうのを入れていこう、というのがレジリエンスだと思う。そう考えると、「現状がうまくいってない」と現場は感じているんだと思いますよ。だから食いつく。もしそういう状況がなかったら、「えっ?」って思うだけでしょう。でも、問題意識、課題意識を持ってるから、みんな食いつく。

編集部:真剣に悩み始めているという。

安藤: そう。真剣にならなきゃならないところが出てきたっていうことが、時代の変化なのかもしれないですけど。

門林:そうですよね。だから、大変な状況ではありますけどある意味チャンスですよ。インターネットを最初に作った時って、どうやって作っていいかみんなわかってなかったんです。学術と産業界で割と力を合わせてみんなでやったんですね。で、それが安藤さんの世代とか、そのちょっと上の世代とかを作ったと思うし、それが今の日本のIT業界の財産になってると僕は思うんです。今、サイバーセキュリティでも、サイバーレジリエンスでもそうですが、この解のない状況の中、若い人がいっぱいいるじゃないですか。これはチャンスだと思うんですよ。それこそ若い、大学の人たちも目をキラキラしてやってくれてるし、企業の方もしゃかりきにお仕事をされてるので、これ、いいことかなと思っています。

「ニーズドリブン」で「分業」を超える

門林:インターネットが実用化されてもう20数年経つんですが、今、運用する人とか、火消しをする人とか、開発をする人の分業が進みすぎていて、そこの発想ができなくなってると思うんです。僕も安藤さんもその頃から関わっているから感じるんだと思うんですけど、インシデントレスポンスの発想でいくと、「じゃあ、パソコンを取りあえずこうしましょう」とか、「ネットワークにSSLを設定しましょう」とか、すごく近視眼的な、小手先の対応、あるいは「お客様にコミュニケーションしましょう」となる。そうじゃないんじゃないかっていう問題意識が根底にあります。

安藤:分業化して、細分化して守ってるんで、その範囲でできること、対策っていうふうになると小手先になりがちだと。だけど本当は全部のシステムを上から俯瞰的に見て、こういう組み方をしたほうがいい、というような対策があるはずだということですね。そこに着目して、設計からそれこそ「レジリエンシーの高いもの」を作っていこうっていう考え方ですよね。わかりやすいんじゃないかな。

門林:僕はDevOpsの流れというのはすごく良いことだと思っていて、例えばブロードバンドセキュリティさんとか、ITサービスプロバイダの会社の方って、割とそういう意味で自然に、業務のニーズからして自然にDevOpsになっているケースが多いと思っています。というのは、自社のシステム、例えばメールサービスがあったとして、「このサービスを何とか良くしていかないといけない」というところで全社的に力を合わせようと思うと、自然と、「運用部門と開発部門が一緒に仕事をしましょう」っていう形になるじゃないですか。

これはすごくいいことで、従来の、「製造業・メーカーさんがいて、SIerさんがいて、ユーザさんがいる」っていう、ウォーターフォールモデルとは違うと思うんですよ。従来の製品の提供販売のやり方が典型ですが、メーカーさんが「こういう製品が欲しいだろう」という想像で作って、SIerさんが「あるものを売ればいい」という姿勢で売る。エンドユーザさんは、「こういう製品ですから仕様に沿ってお使いください」と押しつけられて、そもそも自社の枠に合わないのにオペレーションで頑張るわけです。それに対して、DevOpsみたいにニーズドリブンで行くっていうのはすごく大事だと思います。よくあるのが、教科書的な考え方。「JPCERTがあります」、「ISAC*4があります」、インシデントレスポンスに対して「ISO 27035があります」と、何か「既にきちんとしたものがあって、工夫したらちゃんとできるんだ」っていう、変な幻想があると思うんですけれど、現実そうではないんですよね。「DevOps」だって、後付けなんですよ。うまくいった会社さんが、例えばシリコンバレーだったり東京だったりで、いろいろ勉強会とかで話してる中で見出されてきた概念だと思うので、そこをニーズドリブンで行く。「CSIRT」とか「ISAC」とか「情報共有」とか「サイバーセキュリティ」もそうですけど、全部後付けでしかないっていうところですよね。そこに注意してやっていくのは大事かなと思います。

どんな人材が必要か

編集部:最近、「エンジニアよりも橋渡し人材が必要だ」といった議論が見られますが、どうお考えでしょう。

門林:そうですね。「橋渡し人材」っていう言葉が適切かどうか、ということはありますが、先ほどのニーズドリブンという話で言うと、「橋渡し人材」とは、恐らく、ゴールオリエンテッドに動ける人材のことだと思うんですよ。例えばそのゴールに向かっていくのに、ある時はCISOがいないといけない、ある時は社長を口説かないといけない、ある時は財務を口説かないといけない、ある時はカスタマーコミュニケーションをしないといけない、ある時は開発を口説かないといけないっていう場合に、セキュリティなりレジリエンスというものをビジネス目標にして、ゴールオリエンテッドに動ける人を「橋渡し人材」と言ってるんだと思うんです。決して、「技術の言葉と経営の言葉だけしゃべれれば橋渡し人材」というわけじゃないですね。

安藤: そうじゃないと説明もはずしちゃうんだと思いますね、ゴールが的確に認識されていないと。橋渡しの仕方を間違えることだってあるでしょうね。「本来はこうあるべきだからこういうふうに持っていくんだ」っていう話し方ができる人じゃないと橋渡しはできないよね。

門林:人材育成の議論で欠けてるな、と思うのは、「本気度」なんですよ。これは爆弾発言になっちゃうかもしれませんけど、本気でゴールに向かって目標を達成できる人っていうのを経営サイドは評価するじゃないですか。ビジネスの継続性が大事だ、顧客満足度が大事だ、そのために君は技術で何ができるんだ、あるいはどういうふうに技術チームを動かせるんだ、財務をどういうふうに口説けるんだ、…そういうところだと思うんですよ。本気度っていうのは。「最近就職に有利なんでセキュリティ頑張ります」みたいな感じだと、得られないわけですよね。「セキュリティで頑張って会社に潜り込みました」となっちゃって。それこそ、「人材育成プログラムで経営の言葉を覚えました」、「次は技術の言葉を覚えましょう」、「とりあえず流儀は覚えました」だと、「おまえ本気で仕事できるの?」って話になるじゃないですか。そこなんですよね、僕がすごく気にするのは。なので、本来的には教えなくてもできる人が欲しいんですよ。人材育成の話がすごく盛んなんですが、「教えなくても経営の言葉と技術の言葉を泣きながら勉強するやつ」が僕は欲しいんですよ。

安藤: 必要で覚えた人のほうが使える、僕もそう思いますね。入社して3、4年でセキュリティのことだけやって、「人材育成されました」って言ってるけど、「それって本当?」っていう話ですよね。僕なんかは多分化石人類扱いなんだろうけど、ずっと昔からやってる人っていうのは、技術的なことを全部一通りやっているんですよね。ネットワークもサーバも全部いじって。開発も運用も全部やって、自分でやって知ってますよ、と。泥くさいところも知ってます、という中でセキュリティを見ているっていうのと、分業化された中でセキュリティのところだけ— 脆弱性はこういうのがあって、管理はこうやってやんなきゃいけないとか、そういうフレームワーク — を覚えた人間とを比較すると、重さが違うよね。だから、人材育成で、「本当にそれでいいの?」っていう疑問は僕もずっと持ち続けていて。教えるのは否定はしないんだけど、それが役に立つのは何十年後なんだろう、っていう感想も同時に持ってる。泥くさいところなり、俯瞰的にものを見るだけの経験なりがないと、本当のところを判断できないんじゃない?って思うことが多い。「これはこれに優先させて社長止めてでも何とかしなきゃいけない」みたいなところができる人間じゃないと止められないことってあると思うので(笑)。そのレベルじゃないとできないことってありますよね、きっと。

門林:そうですね。人材育成っていうのは、僕らは生涯学習だと思っているんですけど。セキュリティってどんどん新しい攻撃が出てくるし、どんどん新しい製品とかサービスも出てくるし、クラウドとかIoTとか技術の革新もすさまじい勢いじゃないですか。日々勉強だと思うんですよね。で、日々勉強の中にたまたま、経営の単語も入っています、法律の単語も入ってます、営業の知識も入ってます。そういうことで僕はいいと思うんですよ。それでどのくらい場数を踏んだかだと思うんですよね。促成栽培で、「2年ぐらいのプログラムで人材育成できました」のような話ではなくて、継続的に、セキュリティ業界全体で、それこそいろんな会社さんの商売を任せられるシステムを、レジリエンスを高めることができる人を、どれぐらい育てていくか。社会の中にどれくらいそういう人が存在するのが望ましいかっていうことだと思うんですよね。「何百人作りました」のような、ワンショットで短期的に済む話ではないと思うんですよ。

編集部:若者の人材不足という点は、そこも含めて議論をしていく必要があるのでしょうか。

安藤: だって、もともと(人材が)少ないんじゃない?ないものねだりだと僕は思うよ。そういう経験ができる人って少ない。「大きなサーバを作りました」っていう人、どれだけいます?日本に。いないでしょ?あんまり。だからそういう人材はもともと不足してるんだと思うし、それをちゃんと拾って、セキュリティのわかる人に育てる機会も少ない。だから結果的に「少ない少ない」でずっと来てる。アプローチとしては、セキュリティの素養を大学の間にやっておいて、それがわーっと育っていって、ある程度の経験を積んだ時に、「こいつ、セキュリティもできるよ」っていう状態になってるのが理想像かもしれない。だから、今やってることは無駄ではないだろうと。効率は悪いけど(笑)。

門林:見ていて思うのは、業界全体が現状肯定から入ってると思うんですよ。こういうアプライアンスがあります、PCI DSS*5 があります、こういう仕組みがあります、こういう決め事があります、こういう組織論があります、これで何とかうまく回しましょう、で動いてると思うんですが、今のままやるとあまりにも大変じゃないかって思うんです、僕自身は。例えば、フォレンジックするにしても、一千万円かかりますと。何でかっていうと、大変だからなんですよね。そこの大変さをなくすっていう努力を本当はしなきゃいけない、業界として。要するに、効率化ですよね。低廉化だったり生産性の改善、つまり、フォレンジックを1個5分でできるようにするにはどうするか、あるいはそれを5秒にするにはどうするかっていうところの技術開発だったりイノベーションが必要なんですけど、そこの問題意識がすごく欠けてると僕は思うんですよ。

編集部:現場が近視眼的な見え方しかできないというお話でしたが、そもそも、リーダーが舵取りできていないから現場が苦しむ、という面もあるのではないでしょうか。

安藤: システムの開発提案で、こういうサーバ置いてこういうアプリケーションを動かすんです、っていう提案だけが出てくるんですよ、放っとくと。「じゃあ、そのネットワークはどこに構築して、どこにその場所を置いて、誰がその実態の機器を管理するの?」って聞くと答えが返ってこない、というのは日常茶飯事ですよ。つまり、上で誰か勘案しなきゃいけないわけね。どっかで誰かが決めなきゃいけなくて、ちゃんと決めて持ってらっしゃいっていうことを言って返す。リーダーが舵取りできてないんですね。今回決められないなら、ちゃんと決めて持ってきてね、みたいなことってありますよ。「そこのラック、場所は空いてるけどもう電源はないよ」とか、平気であるわけですよ。誰がコントロールするんですかと、それを(笑)。近視眼的にしか見てないからだよね。交通整理する人もいなきゃだめなんですよね。あるいは、そのラックを管理してるのは「誰か」はそういうこと分かってるわけですけれど、その情報が会社の中でシェアされてない。

 

標準化の重要性

安藤: 例えばね、同じ開発系であっても、自分たちのオフィスの中で必要なソフトウェアを開発しているのと組み込み系の開発とではまるで違うし、用語も違うしモチベーションも違うし、どういうソフトウェアを作るがいいのかっていう、その価値観も違うんです。

編集部:それぞれの専門の中でサイロ化が進んでいるということですか。

安藤: そう。だから、組み込みの中ではいかにサイズを小さくするかとか、いかに安いハードウェアで上げるかとか、そういうモチベーションがあるけど、オフィスのソフトウェアを作ってる時にはないよね、そういうのは。

門林:ただ、それはずっと意識して闘っていかなきゃいけない闘いなんですよ。つまり、お客様のほうを向いて、ビジネスプライオリティだけで仕事をしていると、どんどんサイロ化って進むんです。お客様のビジネス要件とかお客様が使う用語とか、いろんなものに左右されるんですね。それはもう本当サイロエフェクトの最たるもので、それをずっと続けていくと人材流動性も高まらないですし、やっぱり標準化ができてないっていうことになるんですよ。概念そのものが標準化しないと会話ができない、教科書が書けない、教科書が売れないってことになりますから。例えば、自動車業界なんかが最たるものですけど、系列で随分と違うんですよね。だから、「本当に、それがいいんですか?」っていうのをIT業界は考えなきゃいけない。業界全体としてね。これはビジネスのコンテクストだけで数字を追いかけてると絶対出てこない話なんですけど、国際的にはすごく大事な話なんですよ。僕は国際電気通信連合* International Telecommunication Unionno。 国際連合専門機関の一つ。 [/footnote]っていうところで単語の定義の標準化をやってるんですけど、例えば「サイバーセキュリティ」っていう単語の定義は、「X.1205」っていうリコメンデーションがスタンダードになっているんです。「サイバーセキュリティ」っていう単語は2004年に定義されたんですが、それが国際的な国連の議論だとかいろんなところの議論で使われる礎になってる。単語の定義がしっかりしている、お互いにちゃんと意思疎通ができるっていうことは、社会全体として技術を考える上ですごく大事なことです。ただ、ここで僕ら標準化をやってるんですけど、儲からないんですよね、全然ね。

安藤:(笑)

門林:当然、国の研究所でやってるんで問題ないんですけど、やっぱりそういうことをITとして考えないといけないんじゃないかなあと思いますね。例えばISO/IECに関しても、メーカーの方とか国の研究所とかが人を出し合って、やってるわけですよね。それが主たる業務の人は少ないです、実は。ISO/IECに「SC 27」っていう委員会があるんですが、皆さんご存じのISMS、いわゆるISO 27000シリーズの標準化をやってるんです。アメリカもヨーロッパも同じような感じなんですよ。その27000、皆さんバイブルみたいに大事に拝んで仕事されてると思いますけれど、あれは別に何のギャランティもないんですよね。「これでやったら事故は防げます」というものではなくて、「これでやったら訴えられません」ということでもなくて、そこは何もギャランティがないんです。なぜならば、片手間だからですよね。イギリスでやっていた「BS7799*6」っていうのがあって、これがいいんじゃないかっていう話で、イギリスが持ってきて、アメリカもドイツも日本も、ほかにいい提案がないからこれ呑んで標準化するか、って。そういう話なわけですよ、結局ね。国際標準って、皆さん何か「すごい人がすごいリソースかけて作ってる」と思ってるかもしれませんけど。もちろんコストはかかってますよ。すごい人が動いてますから。年に何回も世界中でミーティングしてますし。1回で1億かかるようなミーティングもあります。ただ、そこで作ってる標準っていうのは、ギャランティはないです。ある意味「欠陥が見つかったら直しましょうというスタンスでやっているから受け入れられている」というものですよね。

安藤:中身を細かく見ていくと、2013年で大きく変わった部分がいくつかありますけどね。パスワードの扱いとかはだいぶ記述が変わっているんで、そこはやっぱり、「まずい点が出てきて変わる」っていうプロセスが正常に動いているんですよ。アメリカの「SP 800-63」*7も、先日、リビジョン3ですか、出ましたよね。

門林:ええ。

安藤:そこでもパスワードの扱いは、連動して動いてるんですよね、実は。アメリカで使っている標準、日本で使っている標準があるけれど、みんな同じような議論を経て、それを反映した改訂がなされている。

門林:委員会には、パートタイムなんですが、それこそ10年選手、20年選手がたくさんいるんですよ。シニアメンバーは10年選手20年選手で、標準化をやってます。だけど、誰もそれが完全だとは思ってなくて、悪かったら直せばいいよ、悪いところがあったら言ってくれというスタンスなんですよね。そこが(日本には)伝わっていないんですよ。27000にしても、多分、皆さんいろいろ一家言お持ちだと思うんですけど、それを日本のSC 27の委員会に上げているかといったら上げていない。「現場でこういう問題があります」、「困ってます」という時に、「(委員会に問題を)上げてますか?」って聞くと、多分上がってないと思うんですよね。

安藤:SC 27には上がってないですね。議論の場は他にもあるので。そこで議論した内容が、例えばIETF経由で上がっていくか、ISOのまま、そのままいっちゃうか、みたいなパスで、いろんなところから上がってくる。あともう1つはやっぱり論文ですよね、主要な認識を変えるような論文が出てきたのを反映しているっていう流れはあると思います。パスワード変更で、「定期的な変更を強制するとロクでもないことが起こる」っていうのが統計調査の結果だと言われてますよね。そのベースはFTC(米国連邦取引委員会)の人の研究論文なんですが、そこでは統計調査をやって、まともなパスワードがつけられなくなっていくというのをちゃんと示して、その結果、定期的変更は一番エンドのユーザには課さないほうがいいよっていう結論になっている。それが、ISO 27001の2013年の変更に反映されています。SP 800-63も同じですね。紐解いていくと、ああ、この論文だっていうのはあります、ちゃんと。大体どのぐらいの時間感かっていうと、2013年の改訂、2013年にやってるじゃないですか。その新基準に沿ったパスワードの運用方法になってきたよ、っていう記事が、昨日(編集部注:2017年5月)に出ています。こういうパスワードの運用が新基準に沿った形になってきたよっていう記事が初めて出たなと思って僕は見てたんですけど。

門林:遅いですけど。そういうスタンスなんですよね。それはもう人対人で。

安藤:しょうがないよ、だってそれだけデカイんだもん(笑)。

門林:世界中のコンセンサス形成ですから。それこそ国で反対したり賛成したりしますので。

AIとセキュリティ — 「AIは使える」か?

編集部:AIはセキュリティにとってどのようなインパクトを持つとお考えでしょうか。

安藤:AIの話って、多分一般の人たちが思っているよりもはるかに身近で、最初に応用されたのは何かっていうと、「スパムフィルター」なんだよね。うち(BBSec)のサービスを作ったのは2005年ですが、その時点でもうAIの応用が始まっていて、スパムフィルターの中にその要素が入っていて、というところからスタートしてます*8。今12年たって、情報をフィードバックするユーザの数が2ケタ億のオーダーに乗るところまで来ている。そうすると、学習させるスパムのネタは十分な数があります。使ってる技術はAIだけではないとは思いますが、精度は、99.9、その下の桁で各社がつばぜりあいをやっているところまでいってます。だから、応用例としてそこまでいってる例が1つあるんだっていうことは知っておいていいかな、と。皆さんAIという括りなもんだからあまり認識してないけど、スパムフィルターって「分類器」で、メールというコンテンツを入れた時に、「それはスパムである」、「スパムでない」って分類する機械、という話です。そういう認識は持っておいたほうがいいです。まあ、言ってしまえば、今AIっていうのはブームになってる。とはいえ、ここ5年ぐらいのスパンで新しい技術として出てきたのって、ディープラーニングですよね。それが出てきてブームになって、AIっていう言葉が20年ぶりぐらいで復活しましたというところで、みんなAIだ、AIだって言ってるんですけど、多分、応用範囲を拡張する話なのね。スパムフィルター以外でもどんどん使っていきましょうっていう動きだと思うんですよ。「そういう見方で、横目で見てるやつがいるよ」っていうところでどうですか(笑)。

門林:クラウドもそうだったんですけど、こういう「AI」のようなバズワードっていうか、ブームになる時っていうのはいくつかの技術的なシーズが成熟してるんですよね。例えばクラウドの時は仮想ネットワークとか、データセンターとか、いくつかの技術が成熟していた。AIも、先ほど安藤さんが言ったディープラーニングっていうのは1つの要素で、例えばGPUを使った並列処理であるとか、車の自動運転みたいなアプリケーションであったり、いろんなものが複合的に組み合わさってくる。あるいは、囲碁のように、コンピュータプレイヤーが人間のプレイヤーを打ち負かして社会的な現象として取り上げられるに至るイベントもいくつかあるし、技術的なことに加え、それをサポートする潮流もいくつかあるっていうことだと僕は思ってるんです。安藤さんが言われたように、いい技術っていうのは使われる時には一般人は気にしなくていいんですね。要するにスパムフィルターもいい技術だったので、これもAIの応用なんですけど、普通の人は気にしてないんですよ。いい技術って、見えないんですよね。実は、今話題になってるディープラーニングって、セキュリティ用途に使うとからきし効き目がないんですよ。あれは画像みたいな、多次元の連続系の情報には効くんですけど。コンピュータのデータっていうのは連続系のデータじゃないんです。要するにパターン認識できるようなものではないので。細かく言うと、「連続系」に対して「離散系」って言うんですけど、離散系なので、従来の機械学習アルゴリズムのほうが精度が高いんですね。うちの研究室でもやってみて確認しているんですが、「ディープラーニングはあんまりよくないね」という話は出ていて、これは、理論的バックグラウンドからすると当然です。ただ、一般の方から見ると、GPUだったり、それこそディープラーニングだったり、いろんな技術革新が組み合わさった瞬間に、化学反応が起きたように見える・・・というところで、少し違和感を持って捉えられている、警戒感を持って捉えられているのかなと思いますけれど。

安藤:AIって「人工知能」って訳されるから、怖いんですよね(笑)。

門林:今、一般的に自動運転とかメールのスパムフィルターとかでよく使われているAIと称されるものはほとんど認識器、分類器なんですよ。顔画像認証ってあるじゃないですか。「ドアの前でニコッってやるとドアが開く」ような。あれって結局顔認識じゃないですか。車の自動運転も基本そうなんです。車線の認識とか障害物の認識とか。メールだと「迷惑メールの認識」っていう認識問題なんですよ。なので、推論はしてないんです。「こうだったらこう」のようなタイプの推論、これはいわゆる90年代までのAIなんですけど、そっちは全然使っていなくて、いわゆる大人の知能・子どもの知能っていう話で言うと、「子どもの知能みたいなものの、性能が良くなりますよ」っていうのが今言っているディープラーニングとかの話なんですよね。それだけであって、それこそ、「人間の知能を超える何かができる」ような話じゃないので、僕ら「オーバーハイプ」って言いますけど、バズワードが拡大解釈されている傾向にあるのかなと思うんですが。

安藤:認識器の精度が上がった、あるいは画像を正確に「これはイヌの画像だ」って言えるようになったっていう進歩、それがここ5年の進歩です、と。だけど、推論エンジンとかって20年前と何にも進歩ないですよね?恐らく。

門林:そうです。

安藤:なので、そこが全く進歩してないと。

門林:セキュリティでインシデントレスポンスとか、セキュリティオペレーションの効率化をやろうとした時に、本当に必要なのは大人の知能なんですよ。それこそ標的型攻撃をキャンペーンとして認識するには、点と点を結びつけなきゃいけない。「ここでこういう攻撃が使われました→別のところでこういう攻撃が使われました→同じ手口が使われている→したがって彼らは同じグループだ。同じタイムゾーンで仕事をしている」みたいな推論があるじゃないですか。そこで推論なんですよね。そういう推論をするには大人の知能が必要で、そこの理論的進歩は実は全然ないんですね。

編集部:じゃあ、「AIでたくさんの人が失業する」ことはない、と。

安藤:分類を正確にできるようになって失業する人って、多分それだけでもいる。例えばトラックドライバーって、安全対策も必要ですけど、「車線をこうやって保って運転してる」っていうのがメインの職業だよね、究極に言っちゃえば。そういうところっていうのは多分一番先に「人じゃなくてもできるんじゃない?」となって、職を失うことになる。だから、レジ打ちとトラックドライバーってよく言われますね、「ここ10年でなくなるんじゃないか?」というのは。

編集部:AIがバズワードになっている背景には、マーケティング自動化の動きがあるように思います。例えば、SNSで「このユーザの写真にバスケットコートが写っているから、関連商品を売ろう」とか、これまでと違うことができると売り込むキャンペーンが盛んですよね。

安藤:「こういう傾向が出てる」っていうのを自動認識するのはある程度できるかもしれないけど、そこから次の動きを推論する、「これはこうだからこうじゃないか」って考えるっていうことはまだできていない。ただし、キラキラして見せることはできる。

門林:できますよ、それは。それこそ、Splunk*9 の何とかのエンジンで機械学習使ってます、とか、言おうと思ったら言えるじゃないですか。要するに、そういうマーケティングだと、今AIとかディープラーニングって言うとお金がつくので、そうやって商売してる方が多いということだと思うんです。セキュリティも今、「機械学習を使ってサイバーセキュリティをやる」ってスタートアップがアメリカではたくさん出てきてますし、実際それでお金もついてます。ただ、そこの(機械学習を使う)根底は何かっていうと、「どうでもいい認識を、コストの高いアナリストにやらせたくない」。今のセキュリティ—業務ではSOCの監視とか、ログが延々あるじゃないですか、SIEM*10 にしてもIDS*11 にしても。それは人間が見てたりするわけですよね。「本当にそこは人間がやんなきゃいけない」っていうところはあるわけですよ。ソースコード診断にしても、ソースコードは延々何十万行もあるわけじゃないですか。その中から脆弱性を見つけるという時、本当に「人間がやらなきゃいけない」のはどこなのか。全部人間がやってたらもたないぐらいのデータ量があったりするわけでしょ。ネットワークもどんどん速くなっているし。だから、機械を使ってある程度人間の作業を本質的なところに絞っていくっていうのは不可逆ですよね。もうこの流れは変えられない。

編集部:「AIが付加価値を創出する」ということではないんですね。

門林:そうですね。セキュリティはそもそも生産性が低い業界だと僕は思っていて。機械学習を使って、それこそDoSの検知とか、研究ではいろいろやっているんですけど。ボットネットの解析とか、そういうのはもう10年来、15年来ぐらいの課題なんですよ。いろんなところにそういう機械学習なりパターン認識なりっていう技術を取り入れて対策のコストを下げていく、あるいは解析の時間を短縮していく。これはもっと皆さんやればいいと僕は思ってるんです。オペレーションの方ってそのオペレーションを回すのが精一杯じゃないですか。そこで何か新しい技術を投入してオペレーションを自動化する、とはなっていないので、そこがちょっと見ていてもどかしいところではあるんですけど。

安藤:分類器だから、「これは本当に対応が必要なものかそうじゃないか」ぐらいの勢いで分類はできるわけですよ。人間はその対処が必要なほうだけ見ればいいっていう使い方ですよ。でも、最後の判断は人間ですよね?

門林:そうです。人間が持ってる嗅覚、すごいですよね。縮退した情報というか、膨大なログとかからの情報を少しずつオペレーターに見せても、おかしいって思った瞬間、気づくんですよね。人間のメタ認知能力はすごいなと思います。あと、そういう認識を機械に任せられると人間は本来すべきことに集中できるじゃないですか。例えば、コーディネーションなんかそうですね、お客様に電話してとか、現場行って対応してとか。そっちの調整であるとか、そのほかの業務との連絡とか、そういうところは本当に人間にしかできないので。実は、セキュリティの現場って非常にクリエイティブでなければいけないと思っていて、これはロンドンオリンピックでCERTをしていた人たちの言葉なんですけど、彼らは「インシデントレスポンスはinventive(発明的)でなければいけない」と話していました。敵も人間じゃないですか。なので、いろいろ手を変え、品を変えやってくるわけですよね。その時に、次にこうきたらこの製品でやろうかとか、この製品の使い方を変えてやろうとか、このチームを配置転換してやろうとかっていう、いろんなinventiveな方法があると思うんですよ。

編集部:「やり方は柔軟に、トライ&エラーも含めたいろんな判断を交えながら人間ならではの部分に英知を集結すればよい、プロセスとして自動化できるものは効率的にAIなりにやってもらおう」ということでしょうか。

門林:気が利いたITサービスプロバイダさんは、AIを何らかの形で使われてますよね。いろんな機械学習のアルゴリズムを使って、それこそログの解析を効率化したり、いろいろやってらっしゃいますよね。これはセキュリティサービスプロバイダとしては避けられない流れだと思いますね。

安藤:人がかかるところにどうやってうまく使って効率化していこうかっていう、その一環で始まるんですね。

編集部:例えばですが、一般企業の経営者や意思決定者がAIのサービスを売り込まれた場合、どういう点に気をつければいいのでしょうか。

安藤:ものすごい簡単な指標を1つ挙げるとすると、「そのAIの判定精度を聞いてみる」のがいいんじゃないかな。99%なのか、99.9%なのか、99.99%なのかのあたりで聞いてみることで、それがどのぐらい使える.かがわかるよね。スパムフィルターでは99.9をクリアするまではほとんど使い物にならないと思われてた。だけど、今の精度っていうのはちゃんとスパムがスパムフォルダに区分けされてて、メールが健全に使えるところまでいってますので、実用になってるわけですよね。だから、そこで完成度を聞くのがいいと思う。

編集部:小数点第3位レベルとか?

安藤:小数点第3位までいってるAIの応用って、残念ながら厳しすぎるので、昨今AIを使ってこういうふうなものを作りました、っていうところには98%ぐらいですかね(笑)。そのぐらいから始めたほうがいいと思いますけど。

編集部:それぐらいで「実用に耐え得る、しっかりした回答ができるデータがある」と評価できるわけですか。

安藤:必要なデータがあればね。開発する人は必ずそれを意識してやってるはずなので、どのぐらいの認識精度でその分類ができるんですか、と。「人の手を煩わせる作業をこうやって半分機械にやらせて」というケースでもある程度の精度は必要なので、そこから聞いてみるのがいいんじゃないかな。

門林:結局、分類とか認識作業じゃないですか。認識作業を機械で置き換えますっていうだけの話なんですよね、AIって言っても、突き詰めると。ただ、99.何%、いいところでそこまでなんですよね、ディープラーニングでやったとしても。「サポートベクターマシン」とかいろいろありますけど、95%以上は出る。その残りの1%なり5%なり取り逃したものを人間がハンドリングしないといけない。「それがどれぐらいのコストなんですか?」っていう話なんですよね。

安藤:AIだけでやろうとすると、学習モデルをどう拡張するんですかっていう話になります。だから、ただ「AI使いました」って言うだけだったら30年ぐらい前からあるベイジアンを持ってきて、使ったよ、って言えば使ったことにはなるんですよ。だけど、本格的な応用でどこまでいってるんだっていう話をする時には、認識率がどのぐらいで、もうちょっと言うと —フィルターの話と同じですけど — 誤検知がこれだけ、過検知がこれだけ発生しますというところまで見て、初めて本物って話になる。

門林:結局、イヌの画像を見せて、「これはイヌです」って、人間が教えなきゃいけないわけです。だから、「クラスラベル」って言うんですけど、AIに教え込むための人間の工数はかかる。「これがスパムです」、「これはスパムではありません」というのを延々やらなきゃいけないわけじゃないですか。それがある程度母数がたまらないと精度も出ないし、スパムもどんどんパターンが変わりますから、そこの工数はすごくかかるんですよね。編集部:例えば、いろんな種類のイヌがいる中で「これがイヌだ」という特徴を抽出して、抽象化しなければならないですよね。

安藤:ディープラーニングが勝手にやってくれるんで。

門林:ただ、オペレーターさんがいて、「これ、イヌ。これ、ネコ」ってやんなきゃいけないわけじゃないですか。延々やる人が必要なんですよね。

編集部:「相当なパターンを入れないと誤認識する」という。

門林:そうです。そういうデータがそもそもあるものだったらいいですけど、ないものだったら作らなきゃいけないですから。

安藤:確かGoogleでは、数十万枚の画像を認識させて、このぐらいの精度が出ますっていう論文が最初出たんですよね。だから、ディープラーニングでも、やっぱり最低でもそのぐらいは必要ですよという話ですよね。「イヌとそれ以外を取り混ぜて数十万枚画像を用意できますか?」という。

門林:AIの応用という時、大体最初に偉い学者先生を連れてきて、じゃあ、これやれって言ってやらせるじゃないですか。そこで最初に騒ぐのは「データがありません」って話なんですよ。要するに、ラベル付きデータがいるんです。「これがDDoSです」、「これはDDoSではありません」みたいなラベルを付けたものを提供しないと、彼らは分析精度も何も言えないんですよね。

編集部:ただデータがあればいいわけじゃない、ということですね。

門林:はい、そうです。

編集部:そのラベル付けは人間でないとできない。

門林:そこがコストなんです。

安藤:そういうところも考えると、スパムフィルターに応用したっていうのは大正解だね。とんでもない数が来ますし、人間が判断して、これスパムだったらレポートしてくれます、っていうところからスタートしたから。うまかったと思いますよ。

編集部:私たちユーザは、全く意識しないでメールを使っています。

安藤:皆さん、スパムフィルターの中にがんがんAIの要素が入ってるなんて夢にも思ってない(笑)。

 

IoTとセキュリティ — 脅威か?機会か?

編集部:IoTについては、どうお考えでしょう。

安藤:IoTっていうのは、実はデータをめちゃめちゃいっぱい生み出すフレームワークなんですよね。じゃあそれをどうやって処理していくんだ、っていうところからAIと結びついて発展が期待される分野になってる。技術のフレームワークとしてデータをそんなに大量に生み出した時に人間がそれを全部見ていられるか? 見ていられません、と(笑)。そこでAIの応用、っていうところで始まっているんだけど、「じゃあIoTの足回りってセキュリティどうなの」っていうのが心配なんじゃないですか。上のほうはAIで何とかすると考えておいていいかもしれないけど、でも、元のデータ化するところを嘘つかれたらどうするの?っていうところでセキュリティが必要になる。そこで、IoTのセキュリティも徐々に問題化してきている。

門林:IoT、そうですね。「IoTのセキュリティ」って、もちろん、IoTそのものの安全性に対する懸念っていうのもありますけど、IoTを使ったからこそできるセキュリティもあるんですね。両方あると思っているんですが、ほとんどの技術的な議論は前者なんですよ。「IoT、大丈夫なんですか」って皆さん聞かれる。クラウドの時もそうでした。「クラウド、これ、大丈夫なんですか、使って」って聞かれます。でも、実際にはクラウドを使うとサーバって1秒もたたないで作り直せるんですね。なので、やられたら作り直したらいいじゃない、っていう発想ができるようになったんですよ、クラウドのおかげで。これはレジリエンスですよね。レジリエンスの1つの実現方法です。これがDockerとかのコンテナ技術を使ってできるようになった。これはすごいことなんですよ、実は。IoTでも恐らくそういうことが起きると思っています。IoTだからこそ、「何か1個落ちても大丈夫だよね」とかね。あるいは、部屋そのものが認証装置になっていて、この部屋の中に安藤さんがいることがわかっていて、かつ、安藤さんのMacがこれだってわかっていた場合、「この部屋に居るから、安藤さんは、この操作ができる」と言える。そういう、場所に紐付いたようなこと。例えば、「サーバルームに行かないとできない操作」とか「経理部門に居ないとできないような操作」とかあってもいいと思うんですけど、今の認証ってそうなってないんですよ。場所とか文脈の情報とかを全く考慮しないで、ID・パスワードで認証するじゃないですか。でも、本当は、ハイリスクな操作や会話をするっていうのは、それなりの場所なり文脈なり、周りの環境っていうのがあるはずで、そういうのを考慮したようなセキュリティっていうのが考えられるんですよね、将来的には。今、たまたまそれが2要素認証っていう形ですごく不便に実装されています。「あなたはこれを持っています、USBを挿します、あなたはパスワードを知っています、したがって、あなたは確実にあなたです」—こういうのが2要素認証なんですけど、すごく不便ですよね、挿さなきゃいけないから。最終的には、部屋の中にいろいろ、それこそ、蛍光灯が何かがIDを出していたり、Bluetoothで壁に埋め込まれていたり、そういう情報を総合的に勘案して、「ここに居るのは安藤さんです」と言えるような形になると思うんですよ。要するに乗っ取りができにくくなる。

編集部:「IoTとセキュリティ」と聞くと、「乗っ取られたらどうしよう」とばかり考えていました。

安藤:多要素認証じゃなくて、「多人数ドメイン認証」があってもいい。「ここに座ってるのは安藤だよ」ってみんなわかってるから不思議に思わないわけで、怪しいやつが来て、ここで何か操作してるとなったら、みんな怪しいと思うわけだよね。そういう認証があったっていいわけですよ、仕組み的には。

門林:リアルなセキュリティとサイバーのセキュリティを紐付けることに成功してないんですよ。だから、どこかから入ってきて、ファイルをパクられるわけですよね。でも、リアルのセキュリティと紐付けることによって、それができにくくなるんじゃないかと。

安藤:この部屋のこの席にいて、PCをいじってる、このIDでログインしてる、顔認識したら安藤ってやつだ、合ってるからOK、みたいな。

編集部:一種のパラダイムシフトにも思えます。

安藤:でも、昔から、「じゃあツケといて」って顔でやってるわけでしょ。みんな分業化して、通信のところから何とかしようとか、デバイスから何とかしようとか考えてるけれど、そうじゃないですよ、と。例えば、監視カメラの画像から、振る舞いがおかしいって検知する仕組みは実用化されているよね。だから要素技術はできている。走ってるとか、転んだとかいうのが検知できる仕組みはもうあるわけです。それを銀行の現場に取りつけた時に、「こいつ、いつもと違うことやってる」というのはわかりますよ。

門林:ただね、ATMを作った時は横領できそうな機会を減らすとか、そういう意図があったわけじゃないですか。それでATMを作ったわけでしょ。でも、やっぱり、ATMごとフォークリフトで持って行ってしまうような、いろんな攻撃があるわけですよね。とはいえ、それでも僕はIoTの可能性に注目するべきだと思っています。危険性ばかりが言われるんですけど、それだと全然、経済的インセンティブが働かないんですよ。誰も作り直そうと思わないし、結果として、「LinuxをRaspberry Piに入れて」とか、何か高校生の工作のような話でIoTとか言ってるのがほとんどですよね。それは経済的インセンティブが働かないからですよ。イノベーションすることによって、巨大なマーケットがあるんだ、っていうのをみんなが認識して、「これはもうOSからしっかり作り直そう」とか、「無線もいいことだからどんどん無線使おう」とか、ポジティブに考えていいと思うんですよね。

安藤:今は入退室管理って認証のシステムと全く結びついてないでしょ。Active Directory構築しましたって言っても、入退室管理とは全く結びついていない。部屋に居ない人がログインしても、おかしいと思わないんだよね、システムは。だから、それをもうちょっと拡張すると、自宅からログインしましたっていう、「この人の自宅だから」っていうことがわかるようになるとかね。そういう世界が来てもいいわけですよ。

編集部:それを阻んでいるのは何でしょうか。

安藤:分業。俯瞰して融合させようっていう動きが弱い。

奈良先端科学技術大学院大学 門林教授

門林:でも、僕は可能性があると思っていて、例えばモバイルOSってどんどん変わってるじゃないですか。それこそAndroidとかiOSとか、どんどんイノベーション進んでますよね。モバイルはお金、マーケットインセンティブがあるので、彼らはイノベーションをどんどん続けてますよね。要素認証も結構積極的に導入してるし。モバイル系のプレイヤーが中心になってIoTのエコシステムでもイノベーションを起こすんじゃないかなと思ってます。皆さんご存じないかもしれませんけど、2要素認証のスタンダードを作っている「FIDOアライアンス」っていう団体があるんですが、そこの人たちは多分、次はこのUSBで挿すとかじゃなくって、無線とか、そういうのを考えてると思うんです。Appleもそうじゃないですか。iPhoneか何かを持っていくと自動的にロックがはずれるとかありますよね?

安藤:あります。電波をどうやって有効利用しようか、持ってるデバイスをどう有効利用しようかっていう話でいくわけですね。だけど、オフィスの中にこうやって入ってきて、認証、セキュリティにまで応用しようっていう発想には、彼らもまだなってないだろうと。残念ながら。

門林:そこら辺は割とスマートシティ的な話なので、どっちかっていうと日本のメーカーさんのほうが強いんじゃないかなと思いますけどね。

安藤:いや、でも、こうやって使おうとすると、こう悪用しようって考えるやつもいるわけで、例えば自動車のキーレスエントリー。キーを持ってると鍵開くよ、っていうやつ。あれ、破られたよね。たった20ドルのデバイスで。どうやったかっていうと、キーの電波を中継する装置を持って、1人がドライバーについて行って、中継して、鍵開けちゃう。車上狙い簡単にできるよ、っていうのがこの間明らかになってましたけど、今のIoTの認証も同じことができない? 1人、そういうデバイス持ってる人について行って、中継して、悪いやつがここで何かやってる、みたいなことできちゃうでしょ。悪いやつは考えると思いますよ。

自動車のキーレスエントリーは、既に傍受手法が確立されている。

編集部:何歩か先を読み「こんな悪いやつが出てくるだろう」ということを想定する力、ということでしょうか。それはなかなか育成しづらいのではないかと思いますが。

門林:いや、でもそれは、見た場数だと思いますよ。だからそのためにBlack Hatなんかにお金を払って毎年行くべきだと思います。FIRST* 12だったり、非公開の会議にもどんどん出て。

安藤:事例をどれだけ知ってるか。過去の事例でどれだけこういうのがあったかっていうのを詳しく知ってるかで想定力の幅が大幅に変わる。攻撃側も過去の事例は調べているはずで、多分同じ技量なんですよね。同じ技量だけども、攻撃側の上前をはねて想像ができて対応ができる、こんなこともあろうかと想定できるということですよ。

門林:サイバーセキュリティって、いまだに皆さん、「原理原則で何とかなる」と思ってる人もいるんです。PDCAだとか。

安藤:(笑)

門林:最近だと、「OODAループ*13で何とかなる」とか言ってる人がいますけど、その原理原則だけ覚えて何とかなるものじゃなくて、これ、ボキャブラリーなんですね、「語彙」。どれぐらい場数を踏んだか、どれぐらいのケースを見て、詳細に分析したかだと思うんですよ。「ボキャブラリーが大事だね」っていうところがわかっていなくて、何か原理原則を吹聴して回る人が多いですよね。「OODAループで弊社もいきます」とか(笑)。

編集部:「ボキャブラリー」とは、具体的にはどういうことでしょう。

門林:例えば、東京を語ろうと思ったら、「新宿通りがあります。新宿通りも四谷のあたりは上智大学があってちょっと瀟洒な感じだけども、新宿まで行くとかなり雑然とした感じになります」と言える。今、IT業界そのものがすごく発達していて、何か路地とか通りみたいになってるんですよね、地図で言うと。それぞれに具体的なリスクもあるし、可能性もある。Pythonだったらこうとか、Javaだったらこうとか、Web系はこうとか、組み込み系はこうとか、各論がいろいろあるわけじゃないですか。それぞれの路地をどれぐらい歩いたかだと思うんです。「ボキャブラリー」というのは僕の例えですけど、それぞれ言葉が違うので「語彙」が要るんです。テクニカルな、ごちゃごちゃとした違いを無視して、原理原則で語ろうとする人は必ずいて、頭がいい人って必ず還元論で語ろうとするんですけど、僕はサイバーの話っていうのは還元論で語れるところって本当に限られてると思うんですよね。

安藤:例外だらけなんで、そんな原理原則でやっただけじゃ抜け穴だらけなのができるだけです。

編集部:なるほど、耳の痛い話ですが、原理原則に固執していては今後ますます激しくなるサイバーの脅威に対応できない、ということですね。― 原理主義に陥ることなく、色々な現場に飛び込んで分野横断的に語彙を身につけ、表層的な変化に惑わされず事の本質を見据える。これからのサイバーセキュリティを考えるヒントをいくつもいただけたように思います。本日は長時間有難うございました。


対談を終えて

門林教授とBBSec 安藤

サイバーセキュリティからAI、IoTまで縦横にディスカッションさせていただきましたが、これらの先端領域に共通することは「正解がない」ことと「技術の動作原理が分かっていないと、結局はどうにもならない」ということではないでしょうか。対談で言ったことも、イノベーションの結果として半年後に陳腐化している可能性すらあると思います。最近の例で言えばビットコインがそうでしょう。貨幣経済の世界にもいよいよインターネット技術の襲来かと思われたビットコインですが、取引高の急拡大にともない分裂する事態を招いています。ビットコインがなぜ分裂に至ったのか、という点については技術の動作原理が分かっていないと理解することができません。今後ますます技術の蓄積が進んで、技術の動作原理が分かっていないと社会現象の理解に苦しむケースが増えることでしょう。対談形式で、過渡的であっても、たとえ不完全であっても解説を試みることは、多くのステークホルダの皆様にとって有益なのではないかと今回あらためて感じました。業界全体でサイロ化が静かに進行する中で、「もともと一緒にやっていた人たち」のつながりを掘り起こして、今こそ大いに対談し、自由な発想をすべきではないかと思う次第です。(門林 雄基)

・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・

技術が高度化して分業が進んで、一方で全体を俯瞰できる者がいないという状態は、技術的なデマや煽りに対して大変脆弱だと言えます。その分野しか知らない人にはよその分野になると真偽を知る術がなく、簡単に騙される・付け込まれる要素が分業やサイロ化で構造的に作り込まれてしまっているように見えます。逆に言えば、動作原理からきっちり理解してる人がどれだけ組織の中にいるかが組織のレジリエンスを構成する鍵になっていくような気がします。「セキュリティは生涯学習だ」という言い方も多分そこらへんに絡んでいるのではないでしょうか。 (安藤 一憲)


門林 雄基
奈良先端科学技術大学院大学 情報科学研究科教授
国内外でサイバーセキュリティの標準化に取り組む。
日欧国際共同研究NECOMAプロジェクトの日本研究代表、
WIDEプロジェクトボードメンバーなどを歴任。

安藤 一憲
株式会社ブロードバンドセキュリティ(BBSec) エグゼクティブ・フェロー
海外および先端技術担当として、国内外の業界団体に参与。WIDEプロジェクト研究員、M3AAWGメンバー。
(※取材当時の役職になります。)


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share