登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配：ITmedia Security Week 2023 冬

2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構（IPA）サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。

[宮田健，＠IT]

セキュリティを「買って使えるくらい」にはなったが……

情報処理推進機構（IPA）サイバー技術研究室 登大遊氏

　冒頭、登氏は現在のITセキュリティの状況について「クラウドやファイアウォール、ゼロトラストセキュリティの構成技術がいろいろあるが、日本人もこれらを買い、使えるくらいにはなっている」と述べつつ、「では、そのような技術を、日本国内で、日本人が作れるだろうか？」と疑問を呈する。それこそが「日本のICTの課題だ」。

　登氏は「日本にICT人材がいない」という課題の根本原因として、「米国といった“先輩たち”との環境の違いがあるのではないか」と指摘する。その違いは2つに絞られ、1つは「コンピュータ／プログラミングが自由に試行錯誤できる環境があること」、もう1つは「ネットワークの試行錯誤ができる環境があること」だという。

　「これらは日本のICT環境においても2000年代に見ることができた。それを発展させなかったために、昨今では外来製品を使わなければならない状況となっている」（登氏）

日本にICT人材がいない2つの理由（登氏の講演資料から引用）

　登氏は「SoftEther VPN」を、2003年にIPA未踏事業で開発し、現在も開発を継続している。世界中の540万サーバで稼働し、商用版の「Packetix VPN」は国内でも7400社が利用している。これを発展させて開発したのが「VPN Gate」で、外国政府の検閲用ファイアウォールを無効化し、自由なインターネットアクセスを実現する分散型中継VPNシステムとして、中国やイラン、イラク、ロシアなどの市民にも活用されている。

　これらの技術が、実はいまの日本のクラウドを支えている。NTT東日本とIPAが開発した「シン・テレワークシステム」は、画面転送型のリモートアクセスのシステムだ。「いまでいうゼロトラストアーキテクチャで構成している」（登氏）。この仕組みは一から作ったわけではなく、「VPN Gateにおいて、ロシアからの大量の通信を処理するに当たり、分散技術を学んだことで、シン・テレワークシステムをスムーズに開発できた。2番目のプロダクト、VPN Gateを作っていなければ3番目のシン・テレワークシステムはできなかったと思う」（登氏）

3番目のプロダクト「シン・テレワークシステム」（登氏の講演資料から引用）

　2番目、3番目があれば、4番目にもつながる。それが、IPAと地方公共団体情報システム機構（J-LIS）で作った「自治体テレワークシステム for LGWAN」だ。新型コロナウイルス感染症のまん延を前に、急いで作ったテレワークのシステムだったという。これを2020年秋に作成し、地方自治体など794団体、7.4万人が利用するシステムとなった。

「自治体テレワークシステム for LGWAN」を報じる、まじめな記事（登氏の講演資料から引用）

　しかし、その裏側は「けしからん」ものになっていたという。サーバ群は“物理的に不安定”な状態になっており、日本でもトップクラスの重要性を持つケーブルが注意書きとともに目に見えるようになっていた。