「まんじゅう怖い」のレベルで「個人情報怖い」状態――2000年代前半のセキュリティの在り方に縛られて生じた優先順位付けのゆがみ：20年分の後れを取り戻すには

2019年5月に開催された「第23回サイバー犯罪に関する白浜シンポジウム」から、ラック 代表取締役社長の西本逸郎氏、Japan Digital Design CTOの楠正憲氏の講演内容を紹介する。

[高橋睦美，＠IT]

　2019年5月に「第23回サイバー犯罪に関する白浜シンポジウム」が開催された。サイバー犯罪に関する白浜シンポジウムでは毎回旬のテーマを掲げて、内外の講師が興味深い講演を行っている。オフレコとなる「夜の部」の内容は紹介できないが、昼間行われた2つの講演内容を紹介しよう。

2020年も、その先にも残せる「レガシー」を

　ラック 代表取締役社長の西本逸郎氏は、最近の出来事の中から、同氏のアンテナに引っ掛かったものを紹介した。

開発者のサプライチェーンが危険な時代

ラック 代表取締役社長 西本逸郎氏

　一つは、サプライチェーンのセキュリティに関連する話題だ。2017年に登場した「CCleaner」や、2018年報じられたASUSの管理用アップデートを悪用したマルウェア配布で注目を集めた。日本でも、2014年に「GOM Player」を用いた水飲み場攻撃が報じられたが、これもサプライチェーンを悪用し、特定のユーザーがアクセスしたときだけに行われる攻撃だった。

　西本氏は一連の事例を挙げ、「脈々とこうした活動が続いているのではないか」と指摘。そして「ソフトウェアを開発している人たちのサプライチェーンが危険な時代になっている。ましてやIoTや制御システムなどで社会インフラを支える時代が近づく中、このソフトウェアのサプライチェーンのセキュリティをどう保障するかが課題の一つだ」とした。

　また悪意ある攻撃ではなくても、例えばソフトウェアの中に組み込んだ電子証明書の有効期限が切れただけで、通信に障害が生じる事態が起きている。

　「われわれは『いついつまでに納入します』といった具合に、『期日』をベースに仕事をしてきた。組み込んだ電子証明書をはじめ、コンピュータシステムで管理すべき期日を棚卸ししていくとおそらくものすごい数になるだろうが、この辺りもきちんと管理しておかなければいけない。こうしたさまざまな期日をピックアップし、検証するものを、これから立て続けに日本で開催されるビッグイベント後の『レガシー』として残せないか」（西本氏）

AIの判断を検証するには

　もう一つ西本氏が「レガシー」と目しているのが、AIによって下される判断、自動化によって出てきた結果に対する検証体系だ。今、いろいろなところでAIを活用した自動化が進んでいる。西本氏は、エチオピアで発生した航空機の墜落事故を例に取り、「フェイルセーフ機構自体がブラックボックス化している中、その誤作動にどう対応するかが課題になるのではないか」と指摘した。

　激しい国際競争の中で、運転や工場をはじめ、あらゆるところで「自動化」が進んでいる。「さまざまな事象を認識し、判断し、作動する」というループを回す自動化の中で、見逃しや見誤り、誤認識があれば深刻な事態を引き起こす恐れがある。

　「自動化の検証体系を構築していくことが重要であり、これも後世へのレガシーになるのではないか」（西本氏）

　これはAIについても同様だ。OECD（経済協力開発機構）ではAIに関する基本指針を定め、説明責任を果たし、安全な開発を行うよう求めており、Googleをはじめ幾つかの企業もAIについての倫理原則を定めている。だが、果たしてそれが守られるのか。

　「AIが有害な形で利用されないよう、専門家の知見を踏まえて検証や監視を行うフレームワークを作成し、しっかり機能させなければいけない。そうした不適切利用やデータの汚染がないかの監視体制も、レガシーになるのではないかと期待している」（西本氏）

ITは、土木工事に近い？

　続いて西元氏は、「ソフトウェアを制するものが世界を制するこの時代においても、日本ではセキュリティ業界どころかIT業界がまだまだ後れを取っている」と指摘し、「この20年分の後れを取り戻さなければならない」と述べた。

　西本氏は最後に「ITは、経済やライフスタイルを変えていく土木工事に近いのではないか」と話す。そして、「カキの養殖が行える豊かな海を保全するには、まず豊かな森を作ることが必要だ」と植林を進めた気仙沼の取り組みに言及。「足元にばかり目を向けるのではなく、社会変革する中でより良い環境を作り、残せるかという大きな視点で取り組まなければいけない。サイバーセキュリティの観点からITインフラという森を守っていこう」と呼び掛けた。

2000年代前半の在り方に縛られて生じた優先順位付けのゆがみ

　FinTech企業のJapan Digital DesignでCTO（最高技術責任者）を務めている楠正憲氏は「セキュリティ業界からちょっと離れてみると、不思議なことがある」と述べた。