登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配：ITmedia Security Week 2023 冬

2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構（IPA）サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。

[宮田健，＠IT]

セキュリティを「買って使えるくらい」にはなったが……

情報処理推進機構（IPA）サイバー技術研究室 登大遊氏

　冒頭、登氏は現在のITセキュリティの状況について「クラウドやファイアウォール、ゼロトラストセキュリティの構成技術がいろいろあるが、日本人もこれらを買い、使えるくらいにはなっている」と述べつつ、「では、そのような技術を、日本国内で、日本人が作れるだろうか？」と疑問を呈する。それこそが「日本のICTの課題だ」。

　登氏は「日本にICT人材がいない」という課題の根本原因として、「米国といった“先輩たち”との環境の違いがあるのではないか」と指摘する。その違いは2つに絞られ、1つは「コンピュータ／プログラミングが自由に試行錯誤できる環境があること」、もう1つは「ネットワークの試行錯誤ができる環境があること」だという。

　「これらは日本のICT環境においても2000年代に見ることができた。それを発展させなかったために、昨今では外来製品を使わなければならない状況となっている」（登氏）

日本にICT人材がいない2つの理由（登氏の講演資料から引用）

　登氏は「SoftEther VPN」を、2003年にIPA未踏事業で開発し、現在も開発を継続している。世界中の540万サーバで稼働し、商用版の「Packetix VPN」は国内でも7400社が利用している。これを発展させて開発したのが「VPN Gate」で、外国政府の検閲用ファイアウォールを無効化し、自由なインターネットアクセスを実現する分散型中継VPNシステムとして、中国やイラン、イラク、ロシアなどの市民にも活用されている。

　これらの技術が、実はいまの日本のクラウドを支えている。NTT東日本とIPAが開発した「シン・テレワークシステム」は、画面転送型のリモートアクセスのシステムだ。「いまでいうゼロトラストアーキテクチャで構成している」（登氏）。この仕組みは一から作ったわけではなく、「VPN Gateにおいて、ロシアからの大量の通信を処理するに当たり、分散技術を学んだことで、シン・テレワークシステムをスムーズに開発できた。2番目のプロダクト、VPN Gateを作っていなければ3番目のシン・テレワークシステムはできなかったと思う」（登氏）

3番目のプロダクト「シン・テレワークシステム」（登氏の講演資料から引用）

　2番目、3番目があれば、4番目にもつながる。それが、IPAと地方公共団体情報システム機構（J-LIS）で作った「自治体テレワークシステム for LGWAN」だ。新型コロナウイルス感染症のまん延を前に、急いで作ったテレワークのシステムだったという。これを2020年秋に作成し、地方自治体など794団体、7.4万人が利用するシステムとなった。

「自治体テレワークシステム for LGWAN」を報じる、まじめな記事（登氏の講演資料から引用）

　しかし、その裏側は「けしからん」ものになっていたという。サーバ群は“物理的に不安定”な状態になっており、日本でもトップクラスの重要性を持つケーブルが注意書きとともに目に見えるようになっていた。

「自治体テレワークシステム for LGWAN」の裏側その1（登氏の講演資料から引用）

「自治体テレワークシステム for LGWAN」の裏側その2（登氏の講演資料から引用）

「自治体テレワークシステム for LGWAN」の裏側その3　後に「けしからんのできれいにしろ」とサーバルームを提供されることになる（登氏の講演資料から引用）

　「このような、ちゃんとした“インチキシステム”になっている。ここでいう『インチキ』とは、『不正』という意味ではない。自分たちの手で試行錯誤しながら作るという意味だ。これこそ、米国の方々がやってきたことだ」（登氏）

学びや、かくあるべし

　登氏のこのような“挑戦”はどこから生まれていたのだろうか。登氏は日本においてもかつては存在した「超正統派コンピューティング人材育成スペース」の歴史を語る。1980年〜2000年代には、各地に「インチキサーバー置き場」が存在した。大手の国立大学、私立大学だけでなく、企業の研究所にもこういったスペースが存在し、学生や従業員が余ったPCを持ち込み、自由にサーバやネットワークを構築したことこそが、高度なICT人材育成につながった。「偉大なる村井純先生（慶應義塾大学）も、石田晴久先生（東京大学）の下で、大学内に自由にネットワークを作っていた。それが基になり、日本のインターネットが形成されている」（登氏）

かつて存在した「超正統派コンピューティング人材育成スペース」（登氏の講演資料から引用）

　いまでは、そのような“自由”な環境を作ることは難しい。当然、勝手に作ればリスクは存在しているが、当時の管理者はリスクの問題と試行錯誤の重要性の、ちょうどいいバランスをとる能力、そしてカルチャーがあった。

　「いまの管理者は、その能力を継承できていない。誰が責任を取るんだという問題になってしまう。かつての偉大な管理者の方々がやり方を体系化し、現代の管理者に残していなかったのではないか。最も経営上重要なイノベーションと、自由な環境のリスクの比較、考慮を行わなくなった。それが、最近発生している深刻な問題といえる」（登氏）

自由なシステムと厳格なシステム（登氏の講演資料から引用）

　ICTの世界で失われたことは、一般的な企業において「自由なシステム」と「厳格なシステム」の両方を育てる力だ。

　上図の左側は、技術研究的な性質を持ち、専門的な知恵を働かせることができるシステムだ。これは0から1を生み出す役割で、試行錯誤によって種を生み出す部分となる。

　右側は、経営事務的な性質を持ち、スケーラビリティを持って1から100を生み出すシステムだ。マニュアルを基に大規模化する力を持つ。

　問題は、製造業など他の分野ではこの両立ができていたにもかかわらず、コンピュータだけは「なぜか右しかない」点にあるという。「これが、いまのセキュリティに関する、日本における最大の課題だ。他の先進国はみな、左と右を同じ組織の中で行っている」（登氏）。

　登氏はICT技術を船に例え、喫水線の上にあるような客室の内装やレストランなどが「アプリケーション」「ミドルウェア」、その下のエンジンや操舵（そうだ）など、土台部分を「システムソフトウェア」と表現する。

　「アプリケーションは日本人も作れるようになった。しかし、本当に育成すべきはインフラストラクチャだ。日本のどの企業も、どの行政機関も、この下の部分を真剣にできる人材が不足していて、意味の分からない状況になっているというのが、先進国の中では日本だけで発生している、大変な問題だ」（登氏）

日本のクラウド、セキュリティの課題

船そのものを作れる人材がいない国、日本（登氏の講演資料から引用）

　これが、クラウドセキュリティの問題と深く関係している。クラウドセキュリティを考えるとき、その技術のほとんどはシステムソフトウェア領域で構成されている。例えば仮想環境を構成するためのハイパーバイザーなどはシステムソフトウェア領域の機能を集めたものだ。

　「われわれはその利用権を買い、その上にアプリケーションを開発してリソースをつぎ込む。しかし、攻撃者は特権的な基盤部分を狙い、大規模なクラウドの侵入を試みている。全てのクラウドユーザーが1つの攻撃で全部乗っ取られる可能性があるというのが、クラウドセキュリティの本質だろう」（登氏）

攻撃者は一度の攻撃で多くのリターンを期待できる「システムソフトウェア領域」を狙う（登氏の講演資料から引用）

　この課題を、どのように解決すべきなのか。登氏は「多様性と分散という方法で解決する」と答える。システムソフトウェア領域の部分の“本質”を理解する人材を増やし、システムソフトウェア領域の種類を増やす必要がある。

　「大きく分けて3つの米国企業がここを提供している。3通りしかない。これが増えてくれればよい。日本が次の10、20種類を作っていかなければならない」（登氏）

　これは決して夢物語ではない。日本では鉄鋼、繊維、自動車産業など、これまでも多数の産業技術で世界トップになっている。それと同じことを、ICTでもできるはずだ。できない理由が語られることも多いが、よくある「日本が良いものを作ると米国がつぶしに来る」という理由も、自動車産業やかつての半導体などを見れば根拠が薄いことも分かるだろう。それを踏まえると、やはり日本には試行錯誤できる場がなく、「超正当派」と呼ぶような新しい人材育成を考え、かつてのMicrosoftやGoogle、Appleがしてきたような“けしからん”いたずらや“インチキ”を、もう一度日本でも行う必要があるのだ。

正当派の人材に加え、計画的ではない試行錯誤を通じ、超正当派のICT人材を育成せよ（登氏の講演資料から引用）

正当派と超正当派（登氏の講演資料から引用）

文系の重要性と“けしからん”支配との交流

　これを成功させるためにもう1つ、登氏はコンピュータ技術だけでなく、文系的学問の重要性を訴える。

　「米国の先人たちは、夜になると法律や数学、化学、哲学などを学んでいた。これが超正当派の人材育成に大いに関係がある。プログラミング言語、メモリ、プロセス、カーネル分離などのアイデアは突然出てきたのではなく、こういった文系的学問からも派生しているように思える。日本人もおそらく一緒で、本格的ではなくても、3割くらいはこういった文系的学問に投じてもいいのではないか」（登氏）

文系的な考え方も重要（登氏の講演資料から引用）

　「第一に試行錯誤できる環境を作ること、第二に文系的学問を尊重すること。だいたいどんな企業も、文系的な人たちが、“けしからん”支配をしている。でも、そういう支配をしている人の頭の中には、こういう大変良い知識も隠されている。技術者も、大変“けしからん”文系的支配的人間と交流を深める必要がある。これによって、いよいよ技術者と経営／企画側との意思疎通が図ることができ、共通の利益が得られる。これが今後、日本で成されるべきものだと思う」（登氏）

いま、登氏は「超正当派コンピュータ＆ネットワーク環境」の普及を目指して活動している（登氏の講演資料から引用）