特別寄稿／AI時代のセキュリティ戦略：上野宣氏が語る、攻撃と防御の最前線【前編】

生成AIの急速な進化は、私たちの業務やビジネスの在り方だけでなく、サイバーセキュリティの常識そのものを塗り替えつつあります。攻撃者によるAI活用が高度化・自動化を加速させる一方で、防御側もまたAIを駆使した新たな対策を模索する時代に突入しました。攻撃と防御の双方でAI化が進むなか、企業はこれまでの延長線上にある対策だけで十分と言えるのでしょうか。いま、セキュリティ戦略そのものの再定義が求められています。

本記事では、現ブロードバンドセキュリティ（BBSec）およびグローバルセキュリティエキスパート株式会社の社外取締役、そして長年にわたりサイバーセキュリティ分野を牽引してきた上野宣氏に、AIとセキュリティを取り巻く最新動向、企業が直面する課題、そしてこれからの時代に求められる戦略の方向性について伺います。

後編「AI時代に増えるリスクと、経営が取るべきアクション」はこちら

AIが変える攻撃の現状と、防御側AI活用のリアル

生成AI（LLM）の普及によって、サイバー攻撃のコストが劇的に低下しています。フィッシング文面の作成、標的企業の調査、マルウェアの作成、侵入後の横展開など、これまで人手と経験を必要としていた工程が、現在では半自動化されつつあります。犯罪ビジネスとして収益最大化を狙う攻撃者にとって重要なのは「時間を掛けて大物を狙うこと」ではなく、「いかに効率的に稼げるか」です。その結果、防御側には「特定の攻撃を止める」だけではなく「被害を最小化し、迅速に復旧する」という視点がこれまで以上に求められています。一方、防御側も、EDR/XDRやログ分析の高度化、セキュリティ運用（SOC/CSIRT）の自動化など、AIを取り入れた対策が急速に進んでいます。

また、独立行政法人情報処理推進機構（IPA）が2026年1月29日に公開した「情報セキュリティ10大脅威 2026 [組織編]」では、「AIの利用をめぐるサイバーリスク」が初めて3位に選出されました。

攻撃と防御の双方でAI化が進む現在、企業のセキュリティ戦略はどう変わるべきなのでしょうか。本稿では、攻撃者の視点で侵入を行うペネトレーションテストの経験を踏まえ、AI時代のセキュリティ最前線を整理し、現場と経営の双方が「明日から動ける」論点を提示します。

AIが変えるサイバー攻撃の現状

攻撃者は「巧妙さ」よりも「スケール」と「成功確率」を取りに来る

AIがもたらした本質的な変化は、攻撃手法そのものの高度化ではありません。最大の変化は攻撃のスケール（量）と、標的に適した攻撃手法を選択できる確率が大きく向上した点にあります。

フィッシング／ビジネスメール詐欺（BEC）の高精度化
役職や業務内容、業界用語に合わせた文面、自然な敬語表現、過去メールの文体模倣、会話の継続まで、生成AIが支援することができます。結果として「日本語が不自然」「誤字が多い」といった従来の判別ポイントが機能しなくなっています。さらに、メールに限らず、チャット（Teams/Slackなど）やSMS、SNSのDM、ビデオ会議（Zoom/Teamsなど）など複数チャネルを横断した心理的誘導も増えています。
ディープフェイク（音声・映像）によるなりすまし
役員の音声を模した緊急指示など、本人になりすましたリアルタイムの会話を通じた詐欺など、人の心理を突く攻撃が進化しています。特に決裁フローが「口頭承認」「チャットでOK」で通る組織ほど影響が大きくなります。
2024年初頭には、香港でCFOをディープフェイクで偽装し、ビデオ会議を通じて2,500万米ドル（約38億円）を詐取した事件が報じられました。従来、本人確認は「見て・聞いて・確認する」という感覚に依存していましたが、その前提自体が崩れています。

[CFO（最高財務責任者）になりすまして2500万米ドルを送金させたディープフェイク技術｜トレンドマイクロ](https://www.trendmicro.com/ja_jp/research/24/c/deepfake-video-calls.html)

マルウェアの派生と検知回避の高速化
既存コードの改変、難読化、検知回避の試行錯誤を短時間で回せるため、シグネチャ依存の検知は追随が難しくなります。加えて、侵入後の活動（権限昇格、横展開、永続化）に必要なコマンドや手順を考えるコストが下がり、攻撃者の習熟速度が上がります。
偵察（Recon）と脆弱性悪用の自動化
公開情報（OSINT）の収集、サブドメイン列挙、設定不備の探索、既知脆弱性（CVE）の当たり付けなど、攻撃の前工程が加速します。攻撃者は「露出している資産」「更新されていないミドルウェア」「放置された管理画面」のような守りの穴をAIで素早く見つけ、手当たり次第に試行します。
生成AIによるコード生成とその限界
生成AIは攻撃コードのたたき台（PoC）や、攻撃後の痕跡隠し（ログ削除や設定変更）の手順を提案することができます。攻撃者が高速に試行錯誤を行うことができるようになりました。ただし、生成物は常に正しいとは限らず、環境依存のミスも多くあります。AIは攻撃を容易にしますが、万能ではありません。

2024年5月にはIT分野の専門知識を持たない人物が、生成AIを悪用してランサムウェアを作成し逮捕されたという国内事案も起きています。従来は一定の技術力が必要だった領域でしたが、AIが参入障壁を引き下げています。
[生成AI悪用しウイルス作成、有罪判決…IT知識なくとも「１か月ぐらいで簡単に作れた」｜読売新聞](https://www.yomiuri.co.jp/national/20241025-OYT1T50209/)

AIは攻撃者にとって新しい武器というより、「既存の攻撃を、安く、速く、個別最適化して量産する装置」として機能しています。

守る側が見落としがちな本質的脅威：攻撃者の「工数」ではなく「意思決定」が変わる

AIで工数が下がると、攻撃者の意思決定が変わります。たとえば以前なら「ROI（投資利益率）が合わない」と見送られていた中堅企業や子会社、地方拠点も、数を打つ前提で標的に入りやすくなります。また、ランサムウェアのように侵入後に人が関与する攻撃でも、初期侵入の候補が増えるだけで全体の被害母数は増えます。

企業は「自社は狙われない」ではなく、狙われる前提で、侵入しにくく・侵入されても広がらない設計に投資する必要があります。

一方で、AI攻撃にも限界があります。生成物の誤り、環境依存、権限・ネットワーク制約など、現実の侵入は地味な制約だらけです。だからこそ防御側は、AIを過度に恐れるよりも、AIによって「攻撃の頻度と質が上がる」前提で、基本対策を徹底しつつ、運用を強化することが重要になります。

防御側のAI活用と、その限界

「検知モデル」と「生成モデル」は役割が異なる

防御側のAI活用を考える際、まず押さえたいことは、AIには大きく2種類の使い方があることです。

検知（判別）に強いAI：振る舞いから異常を検知し、アラートを出す（EDR/XDR、UEBAなど）
生成（要約・支援）に強いAI：文章の要約、問い合わせ応答、手順提案、チケット起票など運用補助を担う

両者を混同すると、「AIを入れたのに検知できない」「要約は便利だが判断が危ない」といったミスマッチが起きます。導入時はAIに何を任せ、何を人が担うかを明確にすることが出発点になります。

AIはすでに防御のコアである

防御側のAI活用は、AI製品を買えば解決という単純な話ではありません。多くの企業で現実に進んでいるのは、次のような領域です。

EDR/XDRの検知ロジック強化
従来のルールベースに加え、行動分析や相関分析を組み合わせ、攻撃の兆候を早期に拾う。
ログ分析／異常検知の高度化
分散したログを統合し、普段と違う通信・認証・権限変更などを検知する。特にクラウドでは、設定変更（IaC、権限付与、APIキー利用）のログが要になります。
SOCの一次分析（トリアージ）の効率化
アラート要約、関連ログの自動収集、影響範囲の仮説立て、過去事例の類推など、人が疲弊する作業をAIが肩代わりする。SOAR（自動対応）と組み合わせ、軽微なインシデントを自動封じ込めする例も出ています。
脅威インテリジェンスの取り込み
攻撃者のTTPやIoCを取り込み、自社ログと突合する。AIは情報の整理・関連付けに強い一方、最終的な妥当性判断は人が担う必要があります。
AIが得意なのは「大量データの整理・優先順位付け」であり、最終判断（ビジネス影響、止める/止めない、復旧手順）は人間の責務として残ることです。

AI防御の落とし穴

AIを活用した防御には、以下のようなリスクがあることを知っておいて下さい。

誤検知／見逃し（False PosITive/Negative）
AIはもっともらしい出力を返しますが、誤りをゼロにはできません。誤検知が多いと現場はアラート疲れを起こし、逆に見逃しが増えます。
説明可能性（ExplAInabilITy）の不足
「なぜ検知したのか」が説明できないと、現場の納得も、経営への説明も難しいことがあり、監査や顧客説明に耐えない可能性もあります。
データの偏り／経時変化
組織の利用状況、システム構成、攻撃トレンドは常に変わります。過去データに最適化されたAIは、時間とともに精度が落ちる可能性があります。
生成AIの幻覚（ハルシネーション）
運用支援にLLMを使う場合、誤った要約や根拠不明の推論が混ざることがあります。検証手順（根拠ログの提示、再現確認）を確立しておくことが必須となります。
機密ログの扱い
生成AIにログを投入する場合、そのログ自体が機密情報の塊です。保存、外部送信、学習利用、権限管理の設計を誤ると、防御強化のつもりが漏えいリスクになります。
AIは防御の万能薬ではなく、運用を強くするための一要素に過ぎません。AIを導入するなら「どのKPIを改善するのか（初動時間、検知率、分析工数、MTTRなど）」を定義し、運用とセットで設計する必要があります。

―【後編】「AI時代に増えるリスクと、経営が取るべきアクション」に続く―

執筆：上野宣氏
株式会社トライコーダ代表取締役
奈良先端科学技術大学院大学で山口英教授のもと情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立。2019年より株式会社Flatt Security、2022年よりグローバルセキュリティエキスパート株式会社、2025年より株式会社ブロードバンドセキュリティの社外取締役を務める。あわせて、OWASP Japan代表、一般社団法人セキュリティ・キャンプ協議会理事、NICT CYDER推進委員などを歴任し、教育・人材育成分野にも尽力。情報経営イノベーション専門職大学（iU）客員教員。

編集責任：木下・彦坂

スペシャル記事 TOPに戻る
バックナンバー TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。

2025年10月20日2025年10月20日

サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性を解説-

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーセキュリティとは-情報セキュリティとの違いと目的・対策・重要性_アイキャッチ画像

サイバーセキュリティとは、インターネットやデジタル技術を利用する社会で欠かせない「防犯」の仕組みです。情報セキュリティとの違いを正しく理解し、その目的や重要性を把握することは、セキュリティ担当者だけでなくすべての利用者に求められます。本記事では、サイバーセキュリティの基本から具体的な対策、最新トレンドまでをわかりやすく整理し、日常業務や企業活動に活かせる実践的なポイントを解説します。

サイバーセキュリティという言葉を初めて耳にすると、多くの人が「何か難しそう」「専門家向けでは？」と思ってしまうかもしれません。しかし、インターネットやスマートフォンを使って日常生活を送る現代において、サイバーセキュリティは私たちにとっても実は身近な存在です。

サイバーセキュリティとは？日常とのつながり

たとえば、「情報セキュリティ」という言葉の通り、サイバーセキュリティは個人や企業が保有する情報を、外部の攻撃や内部の不正から守るためのあらゆる取り組み——つまり「デジタル社会の防犯」と言ってもいい存在です。特別なものではなく、日々のネット利用やデバイス操作そのものがサイバーセキュリティと密接に関わっているのです。現代はスマートフォンやパソコンだけでなく、テレビや冷蔵庫までがネットにつながる”IoT社会”。SNSでのコミュニケーションやオンラインショッピング、各種アプリの利用など、「サイバー空間」と呼ばれるインターネットの世界は生活の一部になっています。この便利さの裏には、見えないサイバー攻撃のリスクが潜んでいます。ここを知ることが、サイバーセキュリティへの第一歩です。

サイバー攻撃とは何か

サイバー攻撃とは、インターネットやネットワークを通じてコンピュータやスマートフォンなどのデバイス、Webサービスなどに損害を与える行為を指します。ニュースでは「ウイルス」「マルウェア」「フィッシング詐欺」「ランサムウェア」「不正アクセス」などの言葉が頻繁に登場しますが、これらはすべてサイバー攻撃の一種です。たとえば、フィッシング詐欺は本物そっくりの偽メールや偽サイトに誘導し、パスワードやクレジットカード情報を盗み取る手口です。マルウェアは悪意をもったプログラムで、感染することで大切なデータの流出や端末の壊滅的な損害につながります。ランサムウェアは、データを人質に身代金を要求する攻撃手法です。

攻撃名	主な手口	被害の特徴	主な被害対象
マルウェア感染	メール添付や危険なサイトからのダウンロード	情報漏洩、コンピュータの乗っ取り、不正操作	個人・企業全般
フィッシング詐欺	偽サイトや偽メールで認証情報取得	ID・パスワード盗難、金銭的被害	個人ユーザー、ネットバンキング利用者
ランサムウェア	メール・ウェブ経由で感染しデータ暗号化し身代金要求	データ利用不可能、金銭的要求、業務停止	企業・医療機関・自治体等
不正アクセス	弱いパスワードや設定ミスを悪用	機密情報の漏洩、なりすまし被害	企業システム・個人サービスアカウント

サイバーセキュリティの目的

サイバーセキュリティの目的は、単に攻撃を防ぐことにとどまりません。情報セキュリティの3要素、「機密性」「完全性」「可用性」を合わせて「CIA」と呼びます。つまり「誰にでも見せていい内容か」「内容が改ざんされていないか」「必要な時に使えるか」を守り抜くことこそ、サイバーセキュリティの本懐です。たしかな一次情報によれば、この三要素は、世界中でセキュリティを考えるときの共通する普遍的な指針となっています。このCIAを守るためには、実に幅広い知識と対応策が必要とされます。企業だけでなく、個人が日々の生活でできるセキュリティ対策もたくさん存在します。

要素	概要	リスク例
機密性 (Confidentiality)	許可された人だけが情報にアクセスできる状態を保つ	情報漏洩、不正閲覧
完全性 (Integrity)	情報が正しく保たれ、改ざんされていない状態を維持	データの改ざん、不正操作
可用性 (Availability)	必要な時に情報やシステムが利用できる状態を保つ	システム障害、サービス停止

なぜサイバーセキュリティが重要なのか

インターネットに依存する現代社会では、サイバー攻撃の被害はもはや特殊な例ではありません。たとえば、企業で情報漏洩が起きれば信用失墜や巨額賠償の問題が発生します。個人の場合でも、SNSの乗っ取りやネットショッピングでの不正利用、クレジットカード情報の流出など、誰もが被害者になりかねません。さらに、近年は、サプライチェーン攻撃、ゼロデイ攻撃など、従来の対策では防ぎきれない高度な手口も拡大。セキュリティ対策のトレンドや法規制（サイバーセキュリティ基本法、GDPRなど）の最新動向をしっかりと抑えることも必須となっています。

こうした被害や課題を正しく理解するためにも、具体的な被害事例や判例、世界的な潮流は表にまとめて学ぶことが効果的です。業界団体や行政機関（総務省やIPAなど）が公開している公的なデータやレポートを活用することで、サイバーセキュリティに対する理解を深めることができます。

サイバーセキュリティにおける基本対策

「何をすればいいのか？」と悩む方に向けて、まずは日常生活で実践できる初歩的な対策からスタートするのが推奨されます。総務省が示す三原則は、すぐにでも始められる実践的なセキュリティ対策の例です。

ソフトウェアは常に最新版に保つ
強固なパスワードの設定と多要素認証の活用
不用意なメール・ファイルを開かない、アプリをインストールしない

これらに加え、「ウイルス対策ソフトの導入」「ネットショッピングサイトのURL確認」「Wi-Fiルーターの設定見直し」「スマートフォンのOSアップデートの定期的な実施」なども効果的です。企業で働く場合は、「アクセス権限の制御」「重要データのバックアップ」「ログ管理」など、さらに高度な対策が求められます。こうした対策の具体例や実践ポイントは、図表やチェックリスト形式でまとめると自己点検にも役立ちます。セキュリティ対策チェック表や安全なパスワードの選び方、多要素認証の設定ガイド等の図解は、初心者が最初に取り組むべき項目を可視化できるため推奨されます。

セキュリティ対策チェックリストの例

以下はチェックリストの一例です。実際に運用する際には業務や使用しているシステムに合わせてより細かく作成していく必要があります。

やるべきこと	重要度	対応状況
OSやアプリの定期的なアップデート	高	実施/未実施
ウイルス対策ソフトの導入・更新	高	実施/未実施
強固なパスワード設定と多要素認証の利用	高	実施/未実施
不用意なメールや添付ファイルを開かない	中	実施/未実施
バックアップの定期実施	中	実施/未実施
ネットワーク機器の初期設定見直し	中	実施/未実施
従業員向けセキュリティ教育・研修	低	実施/未実施

サイバーセキュリティと情報セキュリティの違い

初学者からよくある質問の一つが「サイバーセキュリティと情報セキュリティは同じですか？」という点です。情報セキュリティは、あらゆる情報（紙媒体、物理的なデータも含む）を対象にしますが、サイバーセキュリティは特にインターネットやデジタル技術が関与する電子的な情報・デバイス・システムにフォーカスしています。つまり、インターネットやIT機器を使って情報をやり取りする現代において、サイバーセキュリティの重要性は年々増しています。サイバー攻撃に対応するためには、技術だけでなく利用者の意識も不可欠です。

サイバーセキュリティの最新トレンド

2025年現在、ゼロトラストモデルやEDR・SOC・MFA（多要素認証）など新しいサイバーセキュリティ技術・サービスの導入が進んでいます。AI技術の進化により、攻撃側・防御側ともに手法が高度化し、サイバー攻撃事例、セキュリティインシデント、情報漏洩等のニュースが増加傾向にあります。また、テレワークの普及やIoT機器の急増は新たなセキュリティリスクを生み出しつつあり、最新のサイバーセキュリティ関連キーワード（ゼロデイ、サプライチェーン、ランサムウェア、フィッシング、VPN、SOC、EDR）は、入門段階から意識して覚えておくべきです。こうした最新動向は、企業サイト、行政レポート、業界ニュースなど一次情報を出す信頼できる媒体で確認することを強く推奨します。

サイバーセキュリティの相談窓口・一次情報へのアクセス

一歩踏み込んで「どこに相談すればいいの？」と感じたら、総務省やIPA（情報処理推進機構）など、一次情報を発信している公的機関の情報を閲覧することからはじめてみましょう。また今皆様が記事を読んでいる弊社SQAT.jpサイトをはじめとした、サイバーセキュリティ情報を扱ったWebサイトから一次情報を確認するのも一つの手段です。独自の見解や推測ではなく、根拠となるニュースリリース、ガイドライン、最新動向をもとに判断するのが大切です。また、さらに一歩踏み込んで対策を始めていきたい、指針がほしいと思ったらセキュリティベンダーを頼ってかかりつけ医のように利用してみてはいかがでしょうか。

BBSecでは

セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスをご提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーインシデント緊急対応

まとめ：誰もが守るべきデジタル時代の「防犯」

サイバーセキュリティは社会のインフラを守る防犯意識に他なりません。スマートフォン、パソコン、ネットショッピングやSNSなど身近な存在を守るために、まずは基礎を知り、簡単な対策から一歩踏み出してみることが重要です。専門家の世界だけでなく、どなたでも役立つ情報を、身の回りのことからオンラインサービスの使い方まで、生活目線で学ぶ姿勢がセキュリティレベルの向上につながります。今後もサイバー攻撃や新しいリスクは進化を続けますが、一次情報に基づいた正しい知識をもとに、日々小さな工夫から実践を積み重ねていくことこそ、自身と社会を守る最良の方法です。サイバーセキュリティは難しいものではなく、まずは「知る」「見直す」「具体的に始める」―その小さな一歩から、身近な世界に安心と安全をもたらすことができるでしょう。

【参考情報】

総務省サイバーセキュリティポータル（基礎・初心者向けガイド、三原則）
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/intro/beginner/
東京都サイバーセキュリティサイト（対策全般・攻撃例・用語解説）
https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/594/index.html
IPA（情報処理推進機構）「情報セキュリティ10大脅威」
https://www.ipa.go.jp/security/10threats/10threats2025.html
サイバーセキュリティ基本法および要点解説
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/legal/02
https://laws.e-gov.go.jp/law/426AC10000001

Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

2025年10月22日（水）14:00～15:00
「ランサムウェア対策セミナー2025 ～被害を防ぐための実践的アプローチ～」

2025年10月29日（水）13:00～14:00
【好評アンコール配信】「フィッシング攻撃の最新脅威と被害事例〜企業を守る多層防御策〜」

2025年11月5日（水）13:00～14:00
【好評アンコール配信】「SQAT^®ペネトレーションテスト実演付き!-攻撃の“成立”を見極めるペネトレーションテストとは-」

2025年11月12日（水）14:00～15:00
「なぜ今“脆弱性診断”が必要なのか?実績データで見る検出傾向とサービス比較」

2025年11月26日（水）13:00～14:00
【好評アンコール配信】「クラウド設定ミスが招く情報漏洩リスク -今こそ取り組むべき「クラウドセキュリティ設定診断」の重要性-」

最新情報はこちら

2020年1月22日2025年8月12日

＜対談＞杉浦隆幸氏（合同会社エルプラス代表社員） ✕ 齊藤義人（BBSec SS本部本部長）

SQAT^® Security Report 2019年3月号

日進月歩のサイバーセキュリティ。昨年「一般社団法人日本ハッカー協会」を設立し、サイバーセキュリティ、システム開発、IoTなどさまざまな分野でハッカーに活躍の場を提供し、ハッカーの地位向上と活躍によるネット社会の安全や健全な発展を通じて日本のセキュリティの進歩に寄与する杉浦隆幸氏に、当社セキュリティサービス本部本部長齊藤義人が忌憚のない意見をぶつけた。

※当社は一般社団法人日本ハッカー協会の賛助会員です。

BBSec：まずはお二人に、昨年の総括と申しましょうか、2018年に起こったサイバー事案についてお伺いします。

杉浦：総括といいますか、2018年は仮想通貨まわりの事案が大きく動きまして、2018年1月にはCoincheck（コインチェック）1、9月にはZaif（ザイフ）2 、Monappy（モナッピー）3の話題が世間をにぎわしましたね。被害額が通常では考えられないくらいの桁数が出ておりまして、500億とか、お金が絡んでハッカーが本気になると被害が大きくなるということが証明された感じです。

齊藤：金銭的な動機があった、ということが明確に現れてますね。2017年はランサムウェアとか小金を狙っていたのが、2018年では変化があった。インターネットで巨大な金額が動くとなれば、当然そちらがターゲットになっていくわけですね。

杉浦：そうですね。ランサムウェアの場合も、小金と大金がありましたが、世界的な傾向として、データベースを狙うなど、金額が大きくなった感じですね。

齊藤：攻撃者の成功体験が、またその先の誰かの攻撃手法になっていくという。

杉浦：目立つ成功は真似されやすいですよね。

齊藤：仮想通貨のお話はまさに杉浦さんのご専門ですが、先に話の出たZaifの事件は新聞にも掲載されて一般の方にも話題になるほどでしたね。元々OSINTコミュニティでMonacoinを追っている途中で、突然Zaifの話が出てきたという経緯があったため、有志の動きがものすごく早かったと聞いています。いわゆるハッカーと呼ばれている人々が一気にビットコインのシステムのハッシュを集めて…という動きを、警察で実施するとなるとおそらく膨大なコスト（人件費）がかかるので、同じようなスピードで対応するのは難しいのではないかと思います。こうしたハッカー有志が動けるというのは、言い方が正しいかどうかはともかく、経済効果がすごく見えてきたのではないかなと思っているんですよ。社会的な貢献要素というか。

杉浦：ただ実際に彼らが集まるのも、私が企画（「Zaif犯人追跡ハッカソン」4）した以上は将来的にお金が見えている可能性があるので（笑）。そうでないとあんな優秀な人たちを使えないですから、実際は。そういう仕組みをしっかり整えて、それを実証することによって、将来的に同様の事件があった場合に、速やかに対応をとれるような体制5を構築することが大事ですね。結構な費用がかかるんですが、（官は）前例がないことに費用はかけにくい。ですから前例を作ってしまおうというのが狙いではありますよね。

齊藤：それが実際に功を奏した、と。

杉浦：まぁ、そうですね。ただ、犯人はほぼ特定できたものの、実際の逮捕は警察次第。氏名が特定できても捕まるかどうかというのはまた別の問題なので。そこが難しいですね。

齊藤：それはどうしても民間では届かないところというか。役割の問題ですよね。FBIなんかですと、サイバーアタックの犯人リストがあったりしますが、日本ではそういった動きはまだないですね。
企業の対応もどうしたらいいですかね。例えば、これからも仮想通貨サービスはどんどん増えていって、いつかは法律で縛りがより強くなってくると思いますが。

杉浦：それがまさに問題ですね。実はLINEさんは仮想通貨の取引所をしていらっしゃるんですけど、知らないと思うんですよ、皆さん。というのも、サービスの提供で日本と米国は除外されているという、非常によくない状況になっていまして。コインチェック事件があったことで、認可側のマンパワーが足りないために認可がとれない状況ですね。

齊藤：なるほど。そんなことで日本の経済スピードを落としてしまうという可能性も出てくる、と。

杉浦：そうです。実際、規制があまりにも厳しすぎて経済スピードは落ちています。まぁ、事件起こしたところで、ちゃんと対策したところは、十分強くなっていますけど。

齊藤：確かに、反動力がありますね。

杉浦：ええ。相場モノですので、戻しは必ずあります。1回落ちたら必ず戻すっていうのが。

齊藤：「不正マイニング」の話なんかはどうですか。

杉浦：あれは微妙ですね。ちょうど裁判も大詰め6、どこが不正でどこがそうでないのか、といったところで、セキュリティにかかわる人たちが怯えながら仕事しなきゃいけなくなるというのが現状ですね。

齊藤：たとえ、著名な方であっても、研究のための範囲だといっても関係ないですからね。

杉浦：（警察が）捕まえやすいかどうかいという、あまりよろしくない状況ですね。実はセキュリティは法的なラインが低いんです。そのため、捕まるときは大量に捕まる7、という。

齊藤：それは足枷ですね。

杉浦：セキュリティ業界全体の足枷となっております、これは。

齊藤：やはり日本企業全体で、セキュリティというものがリスクをとりながら行っているものなんだという理解が進んでいかないと難しいですね。いわゆる「ホワイトハッカー」、彼らが研究しないことには･･･。

杉浦：実際に守る側というのは、攻撃するすべての手段を想定しなければならないから難しい。攻撃する側は一つでも当たればOKなんですけれども。ひとつ突破口があれば皆それをまねてしまう。（攻撃側に）1人優秀な人が存在すればそれだけでリスクになる。

齊藤：日本国内ではセキュリティエンジニアが不足しているといいますが、例えばトップエンジニアとなるべき人をどう教育していくか、という課題がこれまでずっと何年も解決できていません。杉浦さんは昨年、日本ハッカー協会を設立されましたね。

杉浦：先にお話したような、攻撃者に対抗できるトップエンジニアになるには、相当高いスキルが必要です。ところが、セキュリティエンジニアの世界は特殊で、犯罪と紙一重ですから、一線越えたような人たちが業界には結構いる。そのおかげで進歩しているのに、「一線越えてしまったら帰ってこれない」では困ります。彼らの活躍の場が必要ですし、また罪に問われないように保護する仕組みが必要だと思ったわけです。日本では凶悪犯であればあるほど捕まりにくい、という面があります。小中学生とか、未熟なスキルの人ほどつかまってしまう。法的な知識もありませんし。そうすると、そこで将来が閉ざされてしまう。それを何とかしないと。

齊藤：脆弱性が発見されることに対する考え方も問題ですね。お客様の現場から、「何でこんなに脆弱性が見つかるんだ！」と聞こえてくることがある。いや、見つかってよかったじゃないですか、という話なんですけども（笑）。

杉浦：悪用される前にね（笑）。

齊藤：そうなんですよ、悪用される前に見つかってよかったじゃないですか（笑）。そのためにやっているのに、「何でこんなに脆弱性が見つかるんだ！」となってしまう。

杉浦：まぁ、そういうものは出てきて当たり前、逆に早めに全部出してくれというマインドを持っていただくことが必要ですね。むしろ何で出てこないんだ、というくらい。何も出てこないシステムはよほどしっかりした作りか、逆に脆弱性診断が実にやりにくいサイトか（笑）。

BBSec：診断しにくいシステムですか。結構あるものでしょうか。

齊藤：ありますね、診断がしにくい。何でこんなことになっているんだ、と。

杉浦：IPSが入っていて、一部しかコマンド飛ばないとか。アプリケーション診断なら、そういうものを排除してから実施したいというのはありますね。脆弱性が確定してからIPS入れて、防御しましょう、となるべきなんですが。

齊藤：本来はそういった「生」のものにアタックをかけて、さらに防衛されている防衛装置の上からでもいけますか、という二段階の診断をするのが望ましいですね。最近では、WAFとかIPSもある程度負荷をかけた状態の時には抜けてしまうというようなこともありますから、防御装置を入れてあるから大丈夫、ではなくて、その外側からもちゃんと見ていく、ということも必要ですね。

杉浦：特にエンタープライズ系のセキュリティというのは、全体的な統制がとれていないとか、実際動いてない機械が半数ということも多いですし。

齊藤：そうですね、IPSはどこかにアラートをあげるような設定を初期に行っていたとしても、だんだんチューニングがおろそかになって行って、実態と乖離してくることがある。

杉浦：やっぱり運用は難しいですからね。全部アウトソーシングしているところも多いですしね。社員1万人くらいの大きい会社さんでセキュリティをちゃんとマネジメントしようとすると、全部で20名以上のセキュリティ要員が必要になるでしょうからね。SOC（Security Operation Center）を作ったり、新しく導入したシステムのテストをするとか、インシデントレスポンス対策など考えると、やはりそれだけの人数は必要になりますが、なかなか自前でそれだけの技術者を用意するのは難しい。ですからセキュリティ専門企業をうまく使いこなすのが日本のセキュリティマネジメントのキーファクターですね。

齊藤：そのとおりですね。SIEM（Security Information and Event Management）なんかも多くの企業で導入していますが、本当に必要なログを有効な方法で取得しているか、あとで確認できるものになっているか、というとまだまだハテナをつけざるを得ない。特に企業側で運用を始めますと、工数のこと考え始めますから。余計なログはとりたくない、とか。そういう考えに陥ってしまう。そういう意味でいくと、セキュリティ専門でそこだけを見ているようなところに頼んでいただけると、運用工数ありきのセキュリティにはならないわけですね。

杉浦：またセキュリティのスペシャリストは専門性が高いですから、いろんな事例を知っていた方がお客様に対するフィードバックも厚くなる。そういうことを考えると、社外の、豊富な事例を知っている専門家に依頼する方が有効ですね。社内で脆弱性診断を抱える意味はまったくないです。よほどたくさんのサービスを持っているなら別でしょうけど。

BBSec：一人の優秀なエンジニアが突破口となって飛躍してしまう、とのことでしたが、そうした攻撃手法や脆弱性の検証に苦労したお話があればお伺いしたいのですが。

杉浦：検証自体、結構苦労しますよね。脆弱性を見つけるだけならバージョンチェックで済むこともありますよ。いま年間1万件以上の脆弱性が発見されるじゃないですか。専門家であっても、その数を全部追いかけるのは難しいわけですよ。

齊藤：CVSSの登録をするのがセキュリティエンジニアのマスト要件か、ぐらいの感じで（笑）。再現性の問題ですが、IoT機器なんかは、製品は大きなものなのでひとつしかお貸し出しできません、となったりすると、トライできる回数が非常に限られてしまう。そういったことが、検証が難しい要因となりますね。

杉浦：理想を言えば、「壊すのでひとつください」ですよね。いろんな検査をして結果的に壊していいものと、正常な振る舞いを見るためのもの。このふたつをください、です。

齊藤：本当に1回しかトライできないとなると、例えばBlack HatのDEFCONで、爆弾処理のトレーニングがあるんですね。ちょうどその一人目がクリアする前の記録を見ると、342人とありましたので「ああ、342人死んだんだな」と。実際に防ぎなさいという場合はどう検証しようか（笑）。

杉浦：無理やり、液体窒素で冷やして、爆発しないようにして、爆発するときは爆発用に囲った中でとか、あるいは敢えて爆発させてみて検証するとか、色々あるんでしょうけども。訓練としては面白いですよね。作ってみましょうか。爆発したら花火が上がるとか・・・（笑）。
先ごろ*8 4年ぶりに改定されたOWASP IoT Top 10でもファームウェアのアップデートをちゃんとしなさい、と言っているんですが、当たり前のことがやっと書かれたくらいです。IoT機器は使われる期間が長いし、ある程度ユーザが考えていかなきゃならない部分もあるんですよね。

BBSec：企業でも忘れられた機器が残っていることがありますね。

齊藤：繰り返しになりますが、システムの運用を維持する、というのは本当に大変なことなんですよ。

杉浦：セキュリティコストが高い、といわれる一番の原因は運用の問題でして。運用もやっぱり費用がかかるわけですから、そもそもの設計段階で、安全性を担保しながら費用を軽減できる方法を考えておかなければならない。それをしないと、セキュリティをまともにやろうとした段階ですごく高コストになるんですよ。大体機器の2倍から5倍かかるというのが一般的です。コストばかりかかって実効性がないセキュリティになってしまったりするんです。それは経営層がちゃんと考えておかなければならない。予算は有限ですからね。

齊藤：例えば、建物の縁の下がどれだけゴミだらけでも住んでる人は気にしない、みたいな感じですね。放置していたらそこから腐っていって土台が緩んだりすることもあるし、誰か入り込んでくる可能性だってある。その辺をセキュリティに置き換えたときにどのくらい想像できるかでしょうね。

杉浦：誰も見てない、録画してない監視カメラがやたらあるけど・・・みたいな（笑）。ある程度の防犯効果はあるだろうけど、いざというときに役に立っていない。

齊藤：そういった防犯効果だけを求めるのであれば、高額な機器を導入するのではなく、代替機器でどうにかする、という発想も必要ですね。本当に必要な機能を適正に選んでいく、というのが大事です。先ほどの家の話でいきますと、お風呂場で覗かれるのを防ぐために防犯カメラを導入するのかというと、そこまでは必要ない。むしろ、お風呂場の窓の下に砂利を敷き詰める方がコストもかからず効果も高い。

杉浦：そうです、音が鳴るだけでも十分効果が得られますから。

齊藤：ですから、そうした全体像をどこまで描けるか、が重要ですね。

BBSec： 仮想通貨を巡る話題から、日本のセキュリティ業界のあり方やトップエンジニアの将来を守りたい、という強いお気持ちなど、「サイバーセキュリティ最前線」にふさわしいお話を伺うことができました。本日は長時間ありがとうございました。

杉浦隆幸氏
合同会社エルプラス代表社員
Winnyの暗号の解読にはじめて成功、ゲームのコピープロテクトの企画開発をはじめ、企業や官公庁の情報漏洩事件の調査コンサルティングを行う。昨今では仮想通貨の安全性確保、Androidアプリの解析や、電話帳情報を抜くアプリの撲滅、ドローンをハッキングで撃墜するデモや、自動車のハッキングなどを行う。テレビなどの出演多数。

齊藤義人
株式会社ブロードバンドセキュリティ（BBSec）
セキュリティサービス本部本部長
Webアプリケーションを中心とした開発エンジニアを経て、官公庁および大手顧客向け脆弱性診断・ペネトレーションテストに従事。数年にわたる長期かつ大規模システムのプロジェクトマネージャーとして活躍。