「人材不足は生成AIで」は誤解？ 大阪大学 猪俣教授が提言する、セキュリティ人材育成／自動化に必要な意識：ITmedia Security Week 2024 秋

2024年12月2日、アイティメディア主催セミナー「ITmedia Security Week 2024 秋」の「セキュリティ運用自動化」ゾーンで、大阪大学 D3センター 教授の猪俣敦夫氏が「組織で考えるべきセキュリティ人材の育て方―AIに振り回されない運用支援に必要なこと―」と題して講演した。

[宮田健，＠IT]

大阪大学 D3センター 教授、CISO 猪俣敦夫氏

　大学という“自由”な組織でCISO（情報セキュリティ最高責任者）として活動する猪俣氏が、自らが対応したインシデントから得られた教訓と、セキュリティ対策における理想と現実を前に、現場を幸せにするための“自動化”を提言した。

　以降、講演内容を要約する。

「人材不足の対策は生成AIで」に含まれる誤解

　AI（人工知能）はセキュリティ運用を支援できるのか――。人材不足が叫ばれる中、生成AIの発展が対策の一つとして注目されているが、「そこには誤解が含まれるのではないか」と猪俣氏は警鐘を鳴らす。

　猪俣氏はAIを、「人間ではない」という前提で、「いろいろな知見、情報を集め、“経験”を確率から導き出すもの」と定義する。セキュリティベンダーはさまざまな機能で「AI搭載」をうたう。猪俣氏は「これを否定する気はない」としつつ、「『AIで運用支援要員が1人増えます』といった感覚になるのは恐ろしい」という認識を持つ。

　その理由は、よく例示される「トロッコ問題」からも分かる。「AIは人間の考え方とは異なり、実に論理的、かつ最適な答えを出す。そこには、人間的なもの――例えば“愛情”のようなものはない。計算機が作るフィジカルワールドと、現実の世界が必ずしも一致しているわけではない」（猪俣氏）

AIは電気羊の夢を見るか？（猪俣氏の講演資料から引用）

インシデントから大学は何を学んだか

　ここで人間が活動する現実の世界に話が移る。猪俣氏は、大阪大学の教授であり、同大学を「データ駆動型大学」に導くべく2024年10月に創設されたD3センターのメンバーだ。同センターは「Digital design」（情報をデータ化、使えるように）、「Datability」（高度かつ膨大なデータを解析、使いやすく）、「Decision intelligence」（さまざまな意思決定を支援する）を目指す。

　同センターの枠組みの中に猪俣氏が含まれた要因の一つとして、同氏はかつて大阪大学で発生したインシデントに触れる。ここから「人」「人間」をどう捉えるべきだったかを考えさせられたという。

　2017年12月、大阪大学で8万件超の個人情報への不正アクセスが発生したという報告が上がる。教員のID、パスワードが不正に利用され、攻撃者がシステム内部に不正に侵入。さらに管理者IDが盗まれたことにより、大規模な情報漏えいの可能性があるとした事件だ。

• 不正アクセスによる個人情報の漏えいについて（お詫び）

　「大学という先端的なイメージのあるところも、あっけなく攻撃が成立してしまった」と、猪俣氏は当時を振り返る。では、この事件が発生した原因はどこにあったのだろうか。猪俣氏は率直に「おごりみたいなものがやっぱりあった」と話す。著名なセキュリティリサーチャー、piyokango氏にも本件は即座にキャッチアップされ、「第三者の目線で事件を俯瞰（ふかん）してもらったことで、この事案が単なる個人情報が漏れたものというより、もっと深刻な状況なのだと分かった」と述べる。

セキュリティリサーチャーのpiyokango氏による、客観的なまとめ（「大阪大学への不正アクセスについてまとめてみた - piyolog」から引用）

　現場と、組織の中央にいる経営者との意識の差は大きい。大阪大学では同じ年度にもう一度、入試問題出題ミスという別のインシデントが発生してしまった。猪俣氏は「外部からの指摘で判明した。シンプルに言えば、自らの判断ミスを組織が即座に認めることができなかった。結論としては、人の人生を大きく狂わせた事案であり、申し訳ないと思っている」と振り返る。

　「組織全体として迅速に事を進めていかねば、われわれが培ってきたブランドや組織への信頼度を毀損（きそん）しかねない。『あそこは信用ならん』と認識されてしまうと、何をやっても信用されず、オオカミ少年になってしまう」（猪俣氏）

インシデントを教訓として生かすには

　大阪大学が経験したセキュリティインシデントも、そして出題ミスも共に、担当する技術者や専門家のみならず、「組織全体として考えねばならない」「組織全体における“深刻”なこと」という意識に持っていく必要性を感じたという。「これらの事件が発生するまでは、サイバーセキュリティに関しては技術的な視点でしか物事が見られなかった人が多かった」（猪俣氏）

　何か対策を講じようとすると、結果として「ルール」ができる。「大学」という場は少々特殊で、会社組織とは異なる「自由」が風土として存在する。ルールは「締め付け」と捉えられ、非常に嫌われてしまう。しかし、インシデントを経験として、風の吹き方が変わったという。

　猪俣氏は大学内に設置されているCSIRT組織「OU-CSIRT（Osaka University Computer Security Incident Response Team）」のリーダーでもある。対策は“セキュリティが得意そうな担当者”に任せ切りになりがちだが、猪俣氏はそれを否定する。「組織全体としてどう捉えるか。そこは経営者や役員理事といった層がリーダーシップをとらなければ、お金も人もつかない」と断言する。

インシデントを教訓とし（猪俣氏の講演資料から引用）

　加えて、猪俣氏は「どんなに完璧なセキュリティ対策を講じても、発生率をゼロにすることはできない。それは、この取り組みが技術的な部分だけでなく、人が関わっているからだ」と指摘する。

　「どうしても計算機だけでは見抜けない。経験や知見が大きなポイントとなる。だからこそ、人間が起こす失敗やミスを叱責（しっせき）するのではなく、伝えてくれたことに対する感謝を伝える」と猪俣氏。こうすることにより、ミスを隠すことで発生しうる、さらなる大きな事故を防ぐことができるのだ。「これこそが、組織風土を変革させる大きな入り口になり得る」（猪俣氏）

　加えて、猪俣氏は「身の丈に合ったセキュリティ」に触れる。「何事も起きないことが、セキュリティ最大の投資価値になる。お金をかけてゼロ円の成果、事故が起きるとマイナスと判断される」（猪俣氏）。そのためには、自分たちのサイバーセキュリティ対策を平時に見つめ直し、きちんと整理しておくことが大事だ。「セキュリティはプロか、ビギナーかは関係がない。全員が同じ問題意識を持ち、仲間だと考え、全体として進めていく」（猪俣氏）

身の丈に合ったセキュリティ対策を目指す（猪俣氏の講演資料から引用）

大学で発生するインシデント、その想定例

　猪俣氏は続けて、大学で発生しがちなインシデントを挙げる。自由な風土である“キャンパス”の中だと、研究室内でサーバが建てられることは当たり前であり、その結果、“放置”された環境が散見される。問題はここにあるという。その他、主に「メールの誤送信」「メール転送」に起因する情報漏えいや、サポート詐欺、ランサムウェア攻撃など、一般の企業と同様の事例が想定される。大阪大学では、特にメールに起因する情報漏えいに関して、「メール添付をやめさせる。ファイル共有システムに保管し、リンクだけを送る」といった対策を進めている。

大学によくあるインシデント種別（猪俣氏の講演資料から引用）

　これらのインシデントで重要なのは「初動対応」だ。情報の共有が少しでも遅れると、後で行う「謝罪」のレベルがとんでもなく高くなるという。ここでもエスカレーションに対し「『怒られるかもしれない』と心配するよりも、早く伝えることで解決が早まり、誰にも怒られないという雰囲気を作ることが重要だ」と猪俣氏は指摘する。

初動の遅れを発生させないために（猪俣氏の講演資料から引用）

　AIはまだ、人間的な優しさ、思いを理解できない。しかし、事故対応の素早さを補助するための「自動化」には活用できるはずだ。エスカレーションの仕組み、タイミングが遅れぬよう、この部分こそ自動化し、人間が苦手な部分を補助することが重要だ。

攻撃者の目線で防御を考える

　猪俣氏はここで、「オフェンシブセキュリティ」という考え方の重要性を訴える。これまでは守ることを中心としていたが、その視点だけだと、賢くなった攻撃者にかなわない。そこで、防御側も攻撃者がどういう目的で、何をしようとしているかを理解しなければならない。これがオフェンシブセキュリティの基礎的な考え方だ。

　これは「攻撃者になれ」ということではない。大切なことは倫理観であり、技術では解決できない部分もある。「この考え方が諸外国に比べてなかなか浸透しないのは、日本の美しい文化、真面目さ故かもしれない」と猪俣氏。今までの境界防御だけでなく、「情報を持っていることが知られてはならない」「攻撃者に狙われないように」ということも考えねばならない時期に来ている。

オフェンシブセキュリティの考え方（猪俣氏の講演資料から引用）

　この考え方を進めていくと、セキュリティの三要素である「CIA」、つまり機密性・完全性・可用性の順で重要と考えられていたものが、最近では「AIC」の順で重視される時代に変化しているといえる。「情報を守ることも大事。しかし、今は自組織が止まらないこと。Aの可用性を考えねばならない」（猪俣氏）

　猪俣氏が調査委員会として携わってきた、過去のインシデントでも、技術的な話よりも組織としてなぜ漏えい事故が起きてしまったのかを考えねば根本的な解決ができないという課題が立ちはだかった。内部不正に関連する事故は2013年に大きく注目されたが、今も幅広い業種で発生してしまっている。これを「人ごと」と考えてはならないと猪俣氏は警告する。「事件報道があっても、やっぱり人ごとに考えてしまう。『まさか自分たちには起きないだろうと思ってしまうが、ほとんど同じことが発生している」（猪俣氏）

　国内におけるこのような状況を打開するには、情報漏えいや内部不正があってこそ「自分たちは何をしてしまったのか」を組織全体で捉えなければならない。それはまさに、大阪大学がインシデントを通じて得た教訓そのものだ。

　大ごとになるのを恐れて隠す、リーダーシップを取らず現場に任せる、委託先への丸投げ状態――これらが組織を深刻な状況に導いてしまう。これを打開するのが「情報共有」だ。これは、人間にしかできないのと同時に、人間のゆるさ故に「非常に苦手とするところだ」（猪俣氏）。

現場に合わせた課題抽出と対応を（猪俣氏の講演資料から引用）

　だからこそ「この部分が自動化すべき部分だ」と猪俣氏は指摘する。情報共有のツールを導入し、「事故が発生したときにどのように対応すべきか」「誰に連絡すればいいか」「どういう手順を踏めばいいのか」といったマニュアルを整理し、ツールとして整備しておく。

　「本来注力すべきところに人間をアサインする。人間が苦手とする部分にツールを活用する。点検表の内容に意識を集中すると形骸化するので、ツールを使って“楽にする”という視点を持つ。マルを付けることではなく“バツはどこかを見えるようにする”ことが大切」（猪俣氏）

　セキュリティは「言うだけはやすし」だ。理想はあれど、現実に即した対策でなければ意味がない。猪俣氏は「ガーデニング」に例え、「花が咲いたら皆うれしい。それと同じように、よそがよく見え、風通しが良い土壌作りができればお互い安心できる」と指摘する。そのために、自動化をうまく導入することが重要だ。

現場を幸せにする自動化を目指す（猪俣氏の講演資料から引用）

　猪俣氏は最後に「サイバー攻撃はもはや人ごとではない、自組織でもう起きていることを前提とした備えがとても大事。今あなたの周りに、そんなことを相談できる人はいますか？」と、講演を締めくくった。