技術と経営、2つの軸で切り込むセキュリティのこれまで、これから

AIは人間の敵ではなく、仕事を楽にしてくれる仲間？

2017年11月30日に都内で開催された「Unbelievable Tour in Japan #2」では、米サイランスのCEO兼創設者であるスチュアート・マクルーア氏とサイランス・ジャパンの最高技術責任者の乙部幸一朗氏によって、機械学習・人工知能（AI）技術を活用したセキュリティ製品の特徴が紹介された。続くセミナー後半では、アスタリスク・リサーチ／OWASP Japan代表の岡田良太郎氏がファシリテーターを務め、2つの異なる切り口でパネルディスカッションが行われた。

「Round1：テクニカルセッション」の「AIはセキュリティに何をもたらすのか」の焦点は、主に技術的な話題だ。

「外部環境、特に脅威の動向に何か変化は見られるだろうか？」という岡田氏の問いに対し、乙部氏が「例えば、メールを受信した時点では誘導先のリンクが有効化されておらず、翌朝ユーザーの手元に届いて開かれる時間になってアクティベートされるといった攻撃が観測されている」と、ゲートウェイセキュリティ製品をかいくぐる手法が生まれていることを紹介すると、マクルーア氏も「スクリプトを用いたり、ファイルの実行を遅らせてサンドボックスによる振る舞い検知の時間切れを狙うなど、サンドボックスをバイパスする手口が広がっている」と説明した。

こうした状況を踏まえ、さまざまな企業の実情を知るデロイトトーマツリスクサービスの代表取締役社長、丸山満彦氏は「何か1つの技術、何か1つの製品を導入して解決する問題ではない。何ができ、何ができないかを把握し、全体を見据えながら総合的に対策しなければならない」とコメント。乙部氏も「何か新しい技術が流行るとすぐ導入するが、それを迂回する脅威が登場し、また別の新しい技術を導入せざるを得ない、ということの繰り返しに、顧客は疲弊している」と同意した。

サイランスが機械学習技術を活用したセキュリティ製品を導入した背景には、そんな事情があるという。マクルーア氏は、システムが複雑性を増し、常に新たな攻撃ベクターが登場している中で、「人とプロセス、製品にまたがる包括的ソリューションが必要なことに間違いはないが、もし最初に脅威の99.7％を検知して止めることができれば、残りの脅威への対処が容易になり、最良の方法だろう」と述べた。こうした背景から同社では、新著「Introduction to Artificial Intelligence for Security Professionals」（https://www.amazon.com/Introduction-Artificial-Intelligence-Security-Professionals-ebook/dp/B07654CFFQ）という書籍を上梓したという。

人工知能や機械学習という言葉が人口に膾炙する前からこれらの研究に携わってきた、奈良先端科学技術大学院大学 情報科学研究家 教授の門林雄基氏は「10年前は、人工知能をサイバーセキュリティに適用しようと考える人はほとんどいなかった。しかし今では状況が変わっている。敵側が自動化を進めており、仮想通貨でいくらか支払えば誰でも攻撃ができるようになった。朝にやってきた攻撃を捉え、あわててシグネチャを書いて更新するというアプローチでは間に合わない。そこで、それまで画像認識や顔認識といった領域に適用されてきた技術が、『マルウェアの認識』にも活用できるのではないかというのが最近の潮流だ」と説明した。

もちろん、いくらAIや機械学習の力を用いても、100％となると難しい。マクルーア氏は、「エンドポイントに侵入を試みる方法はいろいろとあり、全てのベクトルにソリューションを用意するのは難しい」とコメント。さまざまなパターンマッチングを組み合わせて脅威を識別するだけでなく、予測できるような機械学習技術が必要だとした。ただ「改善はされていくだろう。なぜならコンピュータは人間と違って忘れることがなく、どんどん学習していくからだ」という。

門林氏は、「サポートベクターマシンによる機械学習の精度は95％程度で、5％は人がやらなければいけないが、それが99.7%にまで向上すれば、0.3％という誤検知への対応コストなどが飛躍的に減り、運用に耐える技術になるのではないか」と期待を寄せた。またさまざまな企業のセキュリティ運用の現場を知る丸山氏は「そもそも、これまで人間がどのくらいきちんと見ていたかと言うと疑問が残る。実際にはもっと低い数値になるだろう」と指摘。誤検知を全てつぶすのは非現実的であるとし、その上での運用のあり方を模索すべきと述べた。

乙部氏によるとサイランスでは、人工知能システム「INFINITY」に対し、10カ月に1回程度のペースで、それまで抜けていたデータ、あるいは新たに「いいもの」「正しいもの」として認識されたデータを含む新しいデータセットを適用し、ディープラーニングで学習させている。「これにはコンピューティングパワーも必要になるが、質の高いデータの量が増えれば増えほど精度が上がり、誤検知を減らせる」（乙部氏）

マクルーア氏は、ケーシングをはじめ、同社が活用しているいくつかの技術を説明した後、最後に「データサイエンスや機械学習の裏にあるものは何なのか、ぜひさまざまな技術をウォッチし続けてほしい。機械学習技術を導入すれば、守るのは楽になる。どうか恐れることなく活用し、世界をよりよいものにしていこう」と呼び掛けた。乙部氏も「ぜひ怖がらずに試してほしい。少しでも皆さんのサイバーセキュリティが改善することを目指している」とした。

高まってきた？ それともまだまだ？ 経営層のセキュリティ意識

続く「Round2：ガバナンスセッション」のテーマは「経営視点からセキュリティを考える」というもの。マクルーア氏と乙部氏からバトンタッチする形で河之口氏が加わり、全員が関西出身ということもあいまって少しくだけた雰囲気の中、経営や企業ビジネスの観点からセキュリティをどのように捉えるかについて議論が交わされた。

サイバーセキュリティの重要性が指摘されている中、果たしてどこまで本気でセキュリティ投資が行われているのか。「まあ、何とかうまいことやっておいてよ」で済まされるケースは少なくないのではないだろうか。そんな問題提起に対し、一つには日本市場特有のユーザー企業とシステムインテグレータとの関係があると門林氏らは指摘した。

岡田氏の「セキュリティ投資に取り組みたいけれど、やり方が分からないという会社は増えているのか？」という問いに、パネリストらは、増えているのは確かだと答えた。大きな理由は、セキュリティ事故の増加だ。

「自社で起きた事故でなくても、例えばWannaCryのように他社でセキュリティ事故が起こると気にする方は多い。また最近は、NHKなどマスメディアでセキュリティの話題が取り上げられるようになり、社長レベルでも気にするようになっている」（丸山氏）

一方河之口氏は「社長の立場でITのことを具体的に考えている人は、あまりいないかもしれない。『こんな風にしてほしい』というイメージはあるが、それ以上に踏み込むことはないのではないか」と率直な印象を語った。かつてのホストコンピュータ然り、クライアントサーバシステム然りで、IT技術は徐々に身近なものになっているが「訳の分からないもの」というイメージを抱く経営層が多いという。

これに対し門林氏は、「少なくとも若い経営者は、特にわれわれが教えなくても、セキュリティをどのようにしたらいいかを分かっているのではないか」と述べ、世代間格差も一つの要因ではないかと指摘した。

さらに門林氏は、たとえ自身が専門知識に詳しくなくとも、「AIや機械学習もそうだが、技術に関して目鼻の立つ人が社内にいるはずだ。そうした技術を見抜ける専門知識を持った人の話を聞き、判断を下せることが重要だ。技術の潮目はだいたい4年おきに変わっていく。ある技術を神殿化してあがめるのではなく、変化のスピードが速いことを理解した上で判断することが大事だ」と付け加えた。

状況の変化、脅威の変化に応じて変わるのがセキュリティ

門林氏によると、農耕民族たる日本人は、スケジュールをきっちり立ててそれを守ることには長けている。一方、有望な狩り場が見つかったら今までのやり方を抵抗なく変える狩猟民族的なアプローチは苦手だという。

これに対し、自身も経営者である丸山氏は「むしろ僕は部下から『全然一貫性がないですよね』と言われる」と笑いながら述べた。というのも「自分が現在の状況に付いていけないという状況が怖いから。この先に崖があるのに、自転車をこぎ続けるのが何より怖い」と丸山氏は述べ、だからこそ、状況に応じてくるくる方針を「変えていく派」だとした。

セキュリティに対する取り組みにも同じことが言えそうだ。「農耕的マインドからして、つい中期計画を立てて、こうしてああして……となりがちだ。しかしセキュリティは本来投資。リスクや金利政策の変動に応じて設備投資が変動するのと同じように、セキュリティも変化していくのが自然だ」（門林氏）。

岡田氏はその意見に同意を示し、「セキュリティは、事業を何で成り立たせるかという考えありきで考えるべき。セキュリティをランニングコスト、もうからないものと思う時点で間違いではないか」と述べた。これを受けて丸山氏も「そもそもサイバーセキュリティというのは、自社のブランドや品質を守るために必要な事柄。それらをきちんと守ることが、自社ビジネス成功の基礎になる」と述べた。

サイバーレジリエンス構成学研究室を展開している門林氏はさらに、「サイバーセキュリティは、サイバー犯罪者による攻撃だけでなく、操作ミスやエラーによって発生する諸問題も含む」と指摘。こうした諸問題を視野に入れ、自動車における安全運転技術のように、たとえ人間がミスをしても、あるいは障害が起きても、事故につながらないようにする「サイバーレジリエンス」という考え方が求められていると述べた。

エムオーテックスの河之口氏も、こうした取り組みの必要性に同意。さらに「それを難しくするのではなく、分かりやすく、シンプルに実現できるようにしたい。今のIT環境は非常に複雑化している。難しいこと、複雑なことをできるだけシンプルにできるような翻訳作業を通じて、『サイバーはよくわからない』と言われないようにしていきたい」と意欲を述べた。