最新技術は私たちに何をもたらし、その先にはどんな未来が待っているのか?
「HENNGE TECH SYNC.」はテクノロジーについて語るオープンフォーラム型イベントです。量子コンピュータをテーマにした第1回に続き、「未来のセキュリティをSFの観点から考証する」をテーマに第2回が開催されました。
本イベントには、数々の作品を世に送り出してきた小説家であり、多くの企業とSFプロトタイピングも手がけてきた高島 雄哉氏と、インターネットビジネス草創期よりセキュリティ分野のスペシャリストとして分かりやすい情報を発信し続ける武田 一城氏が登壇。身近にありながら実態の見えにくいサイバーセキュリティについて、ときにSFの観点も交えながら、リアル世界での現状とこれからが熱く語られました。
本記事では、SFと現実世界のサイバーセキュリティのギャップを踏まえつつ、これからのサイバーセキュリティを考える上で重要な示唆をお届けします。
登壇者
小説家+SF考証+脚本家
高島 雄哉 氏
2014年「ランドスケープと夏の定理」で第5回創元SF短編賞を受賞してデビュー。アニメやゲームのSF考証も手がけ、近年は『機動戦士ガンダム 水星の魔女』『アーマード・コア6』などの作品に参加。さらに、10社以上とSFプロトタイピング企画を実施し、現実の課題にSF的発想で取り組んでいる。
自身の特徴を「科学考証とSF考証の違いを理解している点だ」と語り、理論的な厳密性とフィクションとしての自由度のバランスを取りながら、作品作りに併走しているという。
株式会社ベリサーブ サイバーセキュリティ事業部
マーケティング担当部長
武田 一城 氏
1998年にIT業界入りし、システム基盤とセキュリティ分野のマーケティングスペシャリストに。情報処理推進機構(IPA)の委員を委嘱、日本シーサート協議会(NCA)運営委員、日本PostgreSQLユーザ会理事職なども歴任。
セキュリティベンダーである株式会社ベリサーブでマーケティングを担当。同社のオウンドメディア「Hello,Quality World!」や、ZDNET Japanの「企業セキュリティの歩き方」などを通じて、情報発信を継続している。
リアルとSF、それぞれのサイバーセキュリティの現状は?
武田
(武田)実は、10年ほど前までは、サイバーセキュリティにとって「不遇」ともいえる時代でした。
2000年代にはサイバー攻撃が存在することは知られるようになっていましたが、経営者からすれば「自社がターゲットになるとは思えない」「利益を生まないものに投資はできない」と、必要最低限の対策がなされることがやっとでした。
モデレーター
「まさか自分が攻撃されるとは思わない」という世の中の認識は、本当にその通りだと思います。
武田
(武田)ただ、エンジニアの継続的な情報発信や、インシデントをめぐる報道などもあり、最近ではサイバーセキュリティのイメージも大きく変わってきていますね。
セキュリティエンジニアが「正義の味方」のようなイメージを得て、待遇も改善されてきています。Security Operation Centerという専門組織(※)や、サイバー被害の原因や被害内容を調査するフォレンジックエンジニア(※)など、セキュリティの専門家にも光が当たるようになってきました。
※Security Operation Center(SOC):24時間365日体制でネットワークやデバイスを監視し、サイバー攻撃を検知・分析し、対処する専門部署のこと。従来は社内のシステム管理者などが兼務する場合が多かったが、攻撃の増加・高度化に対応するため専門組織にアウトソースするケースも増えている。
※フォレンジック:不正行為やサイバー攻撃があった際に、電子端末やネットワーク内の情報を収集し、被害状況の解明や犯罪捜査に必要な法的証拠を明らかにする手法や取り組みのこと。デジタルフォレンジックとも。
モデレーター
高島さん、SFの世界ではどうでしょうか?
セキュリティや情報漏えいなどの話題を、作品に描かれたことはありますか?
高島
(高島)自分が関わったものはあまり名前を出せないのですが、一般的に有名な作品だとTVドラマの『相棒』や映画の『ミッション:インポッシブル』でも、セキュリティがキーになる場面が出てきますよね。
基本的には、パスワードを見つけて、それを打ち込んで解決するという展開が多い。
現実世界では、(セキュリティを突破する)プログラムを作って、実行完了するまで待つというのがエンジニアのやり方なので、フィクションの描写には違和感があるでしょうが、腕組みして待っているだけでは作品として絵になりません。
セキュリティのシーンとして、どこかに隠されているパスワードをどうやって見つけるか、それをどうやって打ち込むかという以外になかなか変化をつけるアイデアが出なくて。
そのあたり、リアルの目線からはどうですか?
武田
(武田)今のお話を補足すると、実際の攻撃では、プログラムを実行して侵入できそうなところを見つけて、また情報を集めてプログラムを走らせて少しずつ侵入していく、みたいなことをするんですね。だから、フィクションのようにパスワードをめぐる攻防のようなものはあまりない。
システム管理者の権限といった特権ID(※)を奪う攻撃などはありますが、フィクションでそれをやると説明が複雑になってしまうので、難しいんだろうなと思います。
※特権ID:システムの起動や停止、設定変更やユーザー権限の管理などを行える、システムにおいて最も強い権限を持つIDのこと。特権アカウントとも。
高島
(高島)SF的に、現実とは全く違うセキュリティの設定を作ってもいいんですが、たとえばある動作がセキュリティを突破しているんだと見ている人に伝わるかということを考えると、結局この30年くらい、パスワードベースの描写を使ってしまっているところはありますね。
脆弱性の克服と「アフターパスワード」を模索する
武田
(武田)IDやパスワード以外のセキュリティを考えると、現実に一番多いのは、脆弱性の悪用です。
どんなシステムにも、どうしても脆弱性は存在します。脆弱性が公表される際、それを修正するパッチも同時に公開されるのですが、ユーザーがパッチを適用するまでにはタイムラグがある。攻撃者はそこを突いてきます。逆に言えば、アップデートやパッチの適用などがしっかりしているシステムは、かなり攻撃しづらいんです。
そうした場合に狙われるのが、人です。メールの添付ファイルを開かせてマルウェアに感染させたり、なりすましメールで行動を誘導したりします。標的型攻撃メールのように、特定の企業をターゲットにすることもあります。
ただ、手口が巧妙になってはいますが、根本的な技術は既存のものの組み合わせで、未知の技術が使われているということではありません。
会場からの質問
脆弱性に関連して、最近では能動的サイバー防御という対策を耳にすることが増えました。これはどういうものですか?
武田
(武田)前提として、サイバー攻撃においては、昔も今も攻撃者に有利な状況が続いています。防御側は、DXの進展などもあって守る範囲が拡大しているので、最低限の守りを固めるのに精一杯です。一方で攻撃側は、一点突破すればこのぐらい儲かるというのがわかっているので、必要な技術や費用を投入できる。こうした中で、被害があってから対応するのではなく、攻撃を未然に防ごうというのが、能動的サイバー防御の基本的な考え方です。
その例として、欧州でサイバーレジリエンス法(※)が成立したり、米国でも政府がシステム調達するときの要件(※)を定めたりと、デジタル製品に一定以上のセキュリティ要件を法的に求めるようになっています。また、SBOM(エスボム※)の活用が進むなど、脆弱性を早期に把握し、対応しようという動きも進んでいます。
※欧州サイバーレジリエンス法(CRA):デジタル製品のセキュリティと透明性を強化し、企業や消費者がデジタル製品を安全に使用できるようにすることを目的に2024年に制定され、2027年から全面適用が開始されるEUの規則。セキュリティと脆弱性対応についての要件などが定められ、適合しない製品はEUで販売できなくなる。
※米国におけるシステム調達要件:米国政府および取引先の民間企業には、扱う情報の機密度・重要度に応じて満たすべき基準が定められており、そのベースの一つが米国国立標準技術研究所(NIST)が策定したNIST SP 800シリーズ。日本でも防衛省がNIST SP800-171同等の基準を調達要件に定めるなど、国内外に幅広い影響力を持つ。
※SBOM(Software Bill of Materials:ソフトウェア部品表):ソフトウェアの構成要素とその依存関係を構造化したデータ。ソフトウェアの透明性を向上させ、セキュリティリスクを早期発見・管理するために、上述のCRAなどでも作成・提出が求められている。
モデレーター
ちなみに、そもそもパスワードとは何で、どういう役割を果たしているのか伺ってもいいですか?
武田
(武田)そもそもは、IDとパスワードという二つの要素の組み合わせで、その人を識別して認証するという仕組みです。厄介なことに多くの運用では、いつの間にかIDとメールアドレスが同じものになっているんですよね。そうすると、ID(=メールアドレス)はみんなが知っている情報なので、パスワードという一つの情報がわかってしまえば認証を突破できる。識別の仕方としては弱い方法になっていると思います。
人間の記憶というのは外からコピーできないので、本来パスワードを覚えておくというのは、強い識別方法でした。
たとえば生体認証なんかは、認証部位がケガなどで欠損すれば認証できなくなります。犯罪では認証に使う部位を切り取られたり、そこまでしなくてもゴムなどで複製できてしまいます。
現在では、一人が使うサービスが増えて数百ものパスワードを覚えなくてはならなくなり、同じパスワードの使い回しや、メモなどにアウトプットしたものが漏えいするなどの問題が出てきています。
パスワードの次のセキュリティをどうしようかという話は30年以上出ているのですが、なかなか進まない状況です。
会場からの質問
パスワードに代わる認証方法として、最近はパスキー(※)を導入する動きがありますよね。これはユーザーによるパスワードの作成を回避する取り組みだと思います。
一方で攻撃者側では、何らかの偽のサイトへ誘導して、IDとパスワードを入力させてログイン情報を取得し、正しいシステムに侵入するという手法がある。ランサムウェアも最初の入り口はログインだと聞いたことがあります。
※パスキー(Passkey):パスワードを用いない多要素認証の仕組み。指紋認証や顔認証といった生体認証またはデバイスPINを用いて認証を行う。認証情報がデバイスに保存されるため、パスワード認証に比べてフィッシングなどの攻撃に強いとされる。
武田
(武田)最近猛威をふるっているランサムウェアについていえば、ファイアーウォールなどシステムの脆弱性を突いて侵入されるケースが多いのですが、脆弱性への対策がきちんと手当てされている場合には、人がターゲットになりやすいとはいえると思います。
モデレーター
お話を聞いていて思うのは、人間には脆弱性があるということです。そうなると、人間の行動予測が、実はセキュリティにとってすごく重要だという気がします。そこはSF考証の考え方が生きる部分ではないでしょうか?
高島
(高島)たとえば、医療技術の発展で人間の寿命が伸びています。IPS細胞の技術などが一般化すれば、不老長寿のような状況が生まれるかもしれない。そういう社会で、人間がどうやって働くのか、生きていくのかを考えると、今とは全然違った行動を取る可能性があります。
まだしばらくは現状のシステムが使われていくのだろうと思いますが、人間の行動の変化に伴ってセキュリティも変化するだろうと、私含めSF作家は考えていると思います。
シーザー暗号の昔から、特定のキーワードがセキュリティの肝になるという仕組みは変わっていません。量子暗号も、その点では同じです。なにかまったく新しい考え方が出てきてほしい気はします。
未来では個人情報保護の必要がなくなる?
会場からの質問
マシンの脆弱性は技術で対策できるかもしれませんが、フィッシングや標的型攻撃など、人間の脆弱性を突く攻撃も技術で解決できるようになるのでしょうか?
武田
(武田)人間は技術ではなく、教育でしか変えられないと思います。
モデレーター
人間の行動でいうと、個人情報を進んでインターネット上に公開していく傾向が世界中で強まっているように感じています。国内外の個人情報についての感覚の違いや、今後予想される変化があれば教えていただきたいです。
武田
(武田)SNSなどでの振る舞いは、日本も海外もそれほど違いはないように思います。
それ以外の部分では、日本ではお上を信頼して、自分の情報を預け、守ってもらうという意識が強い。一方でヨーロッパなどでは、歴史的な経緯から、自分の情報を政府や権力者に与えない、自分で守るという意識、プライバシーの意識が強いといえます。
高島
(高島)SFということでさらに飛躍すると、『攻殻機動隊』や、現実社会ならニューラリンク(※)の試みのように、脳をネットワークにつなぐには、手術を受けたりチップを埋め込んだりと、何らかの侵襲的な措置が必要になります。それをどこまで許容するかが、個人によって分かれていくのかなと思います。セキュリティを重視して電脳化を避ける人もいるでしょうし、利便性を取ってフルオープンにする人もいるでしょう。
そうすると脆弱性のバリエーションも増えるかもしれません。
また、SNSごとに違う人格を使い分けるようなことをしていると、はたしてどの「個人」の情報を守るのかという観点もあります。人格が分散していれば、そもそも守る必要がなくなるのかもしれません。
※ニューラリンク:イーロン・マスク氏らが設立した米国企業。脳とコンピューターをつなぐインターフェースを開発しており、2024年には、同社初となる人間への脳インプラント実施が発表された。
ハッピーなSF作品で提示する未来像
クロストークの最後には、会場からの質問を得て、SF作品が今後どんな未来像を示していくのかという話題が盛り上がりました。
会場からの質問
現実のAIは、プログラミングから創作まで色々なことができるようになっています。SF作品では、今後どのようにAIが描かれていくと思いますか?
高島
(高島)AIの登場するSF作品は、ディストピア系の印象が強いですよね。そうでなくても、リアリティを追求する中で、一人以上のキャラクターは亡くなるという暗黙の了解のようなものもあります。
一方で『ドラえもん』や『鉄腕アトム』のように、未来の技術が日常生活に溶け込んで語られるハッピーな作品も多い。
AIの中で、現実とは全く違う物理法則の世界を作るなんていう発想もあり、そういった世界を面白がる物理学者もいるそうです。
個人的にはハッピーな世界を提示していきたいなとは思っています。
モデレーター
ハッピーなSFを通じて、新しい生活様式が創られるかと思うと、ワクワクします。
高島
(高島)そういえば、ハッピーなセキュリティというのはあるのでしょうか?
武田
(武田)攻撃者が攻撃しなければ、一番ハッピーです。ここから先には入ってはいけませんと伝えれば、それが守られるような世界。そういう世界では、セキュリティ自体が必要なくなりますね(笑)
モデレーター
まずは武田さん、サイバーセキュリティの状況を改めて教えていただけますか?