top of page

CSIJ公開シンポジウム​2024開催レポート

サイバーセキュリティの未来

 - 生成AIなどの新技術はセキュリティをどう変えるのか? -

 VUCAという言葉が生まれるように、様々な変化が驚異的なスピードで進行していきます。サイバーセキュリティという側面では、AIに代表される技術革新に加え、法令や制度の変更といった変化が生じ、その対応が求められます。

 2024年7月25日に開催されたCSIJ公開シンポジウムでは、未来の社会展望を考えながら、サイバーセキュリティの未来に対し、今どのような準備をしておくべきなのか、今後どのようなことが求められていくのかについて、様々な視点で議論を展開していきました。

​====================================

  • 開会挨拶

  •  基調講演:「AIの社会応用とその展望」

  • 講演:「生成AI時代のサイバーセキュリティ

      ~サイバーセキュリティ企業とセキュリティチームのための教訓と取組事例 」

  • 講演:「NIST CSF 2.0 改訂から読み解く、サプライチェーンとセキュリティの展望」

  •  パネルディスカッション:

     「サイバーセキュリティの1年後、5年後、10年後

      ~ 近未来のセキュリティに向け企業は何をするべきか ~」

  •  閉会挨拶

​====================================

【開会挨拶】

 冒頭の挨拶に立ったサイバーセキュリティイニシアティブジャパン(CSIJ)の中尾康二会長は、「今回のシンポジウムはある意味チャレンジングなテーマを扱っている。現在のサイバーセキュリティは非常に混沌とした時代にあり、CSIJでも時代の変化に追いついていくために活動をすると言い続けているが、なかなか難しいことである。」としたうえで、「時代の変化には環境や技術の変化が挙げられるが、本日のテーマであるAIを始めとする新しい技術をどう使っていくかが重要。そのためには本日のシンポジウムのように様々な方の意見を伺って情報共有をしたり、連携していくことが重要になって来ていると思う。」と話した。

                     [中尾会長]

【基調講演】

●AIの社会応用とその展望

 最初に基調講演として、東京大学大学院 工学系研究科 システム創成学専攻 教授 鳥海 不二夫 様より、ご講演をいただいた。
 まず、人工知能の歴史を振り返り、盛り上がりを見せるブームの時代と下火になる冬の時代を繰り返し、数年前から生成AIが話題に上り始めて今のブーム再来に至っているとの説明があった。
 次にAIが今、社会にどうやって、どのように使われているのかの話となった。現在では、位置情報サービスや翻訳、音声アシスタントなど多くのサービスが使われている。また、ChatGPTを始めとして、プログラムが組めなくても、チャットで日常の言語で対話をすることで結果が出ることから、AIが身近になった。対話で結果が返ってくる仕組みの解説をしながら、AIと人間の比較なども行った。東大入試や司法試験をAIに受けさせたときの合格の可能性などだ。
 さらには、プログラミングのサポートや難しい問題に対する解決方法が思いつかなかった際の助言をしてくれるし、画像などが扱えるようになったことで芸術作品を作るなども出来るようになってきている。

 

 

 

 

[鳥海 教授]

 このように、利活用の幅が広がったAIではあるが、それに伴って出てくる社会リスクを考えてみたい。
 まず、もっともらしい誤情報を生成するハルシネーションの問題や、バイアスと毒性に注意することが必要とした。
 また、情報提供者に対価が渡らないことによる学習の社会的弊害であるとか、
大量生産による信頼性の低下。さらには電力消費量の増加などがあるとした。

 このように、AIの使われ方と社会的リスクを見てきたが、今後我々はどうしていくべきなのか。
 日本はAI利活用が欧米に対して進んでいたいという調査結果も出ている。メリットがあるのであれば使うべきであり、使わないにしても「使えないのではなく、使えるけど使わない。」というスタンスが重要だろう。
 最後になるが、今後は「AIに代替されない仕事をする」、「AIを開発する」、「AIを道具として利用する」ということが必要になって来るだろうとし、講演を締めくくった。

【講演】

生成AI時代のサイバーセキュリティ

    ~サイバーセキュリティ企業とセキュリティチームのための教訓と取組事例

 登壇した、CSIJの理事でもある株式会社ラックの倉持 浩明 氏は、サイバーセキュリティの対策にAIをいかに活用していくべきかについて、自社での生成AIに関する取り組みなどを基に紹介した。
 まずは日本におけるAIの利用状況を解説。利用するリスクだけではなく、利用しないことによるリスクも考えなければならないとした。

[講演資料ダウンロード ▼ ]

[倉持 氏]

 続いて自社における生成AI利活用促進の取り組みを説明した。
 社内向けには、LACGAIというセキュアな対話型AIアシスタントを構築して利用。またAIに関する勉強会の継続的開催しているという。
 お客様向けへの外販サービスとしては、文書検索や営業ロールプレイング、採用面接のお手伝いなどができる生成AI活用支援サービスを提供しているほか、LACGAIのノウハウを基にした生成AIの環境構築サービスも提供している。
 続いて生成AIとサイバーセキュリティの話に入り、AIを使った攻撃と、AIを使った防御についての話をした。
 まずは、生成AIに関するリスク事例や、システムの悪用について説明。続いて、生成AIを活用したシステムのセキュリティを考える視座を示した上で、生成AIを悪用したサイバー攻撃と、生成AIを活用したサイバーセキュリティ対策の可能性についてそれぞれ言及した。
 最後に、生成AIを活用したサイバーセキュリティ対策を加速させるためには、経営層・マネジメントのコミット、AIを活用したセキュリティサービスへの投資、セキュリティ及びAIに対する人材育成が重要だろうと話した。

【講演】

●NIST CSF 2.0 改訂から読み解く、サプライチェーンとセキュリティの展望

 NRIセキュアテクノロジーズ株式会社の薮内 俊平 氏から、NIST CSFの歴史から、2.0での改訂点などについて解説した。
 まずは、VUCA時代の企業が直面している3つの変化として、技術革新に伴うビジネス連携の広範化、いわゆるつながるビジネス、二つ目はセキュリティ脅威の高度化による高まるリスク、最後はセキュリティ関連の法制度の拡充による厳格になるルールについてを説明した。
 次に本題であるNIST CSF 2.0 改訂から読み解く、今、企業に求められている姿勢について解説した。

 

 

[薮内 氏]

 サイバーセキュリティフレームワークの発生から今に至る経緯に始まり、約10年ぶりに大幅改定されたCSFの4つの改訂ポイントの話だ。
 一点目は、フレームワークの適用範囲が拡大したことであり、全ての組織が攻撃者から標的になる時代に直面していることが背景にあるとした。
 二点目は、「統治(GV)機能」が新たに追加され、統治の重要性が強調されたことである。これについてはリーダーシップを発揮して対策を推進すべきとした。
 三点目は、サプライチェーンリスクマネジメントの強化だ。サプライチェーン、特に委託先・サードパーティのセキュリティリスクを管理するための持続可能な組織体制の整備が求められているとした。
 最後は、フレームワーク活用を助ける補助リソースの拡充されたことである

 続いて話は変わり2030年に深刻化するであろうサプライチェーンのセキュリティ統治の課題である。
 自社で行った「企業における情報セキュリティ実態調査 NRI Secure Insight 2023」によると、大きな課題はセキュリティ人材・担当者の慢性的な不足である。またもう一つはサプライチェーン統制における共通の課題として、管理対象の把握の難しさと、管理すべき対象数の多さである。
 このことから、2030年に深刻化するであろうサプライチェーンのセキュリティ統治における日本企業の課題としては、人材の不足感はさらに高まるし、管理すべき対象はさらに増えるであろうと解説した。

 先ほど紹介した実態調査によると、サプライチェーンリスク統制ができている企業は、日本企業は35.6%であるが、米国76.5%であり、日本は大きな遅れがある。米国で統治ができている実態を見てみると、サイバー観点でのリスクマネジメント(TPRM:Third Party Risk Management)の仕組みによる統治がされているとのことで、TPRMの仕組み化のポイントとしては、対象を見極め小さく始めることと、評価技術を使い分けることだとし、これらを参考にサプライチェーンのセキュリティ統治に向けた対応策として準備すべきとして講演を終わった。

【パネルディスカッション】

サイバーセキュリティの1年後、5年後、10年後

     ~ 近未来のセキュリティに向け企業は何をするべきか ~

 続けて、「サイバーセキュリティの1年後、5年後、10年後」をテーマにしたパネルディスカッションが行われた。 
 登壇したのは、株式会社ラックの倉持 浩明 氏、ニューリジェンセキュリティ株式会社の仲上 竜太 氏、エムオーテックス株式会社の西井  晃 氏だ。グローバルセキュリティエキスパート株式会社の武藤 耕也 氏がファシリテーターを務め、変化の激しいサイバーセキュリティに関しての中長期的視点から意見を交わした。

[講演資料ダウンロード ▼ ]

​ 5年後、10年後の未来を予想する難しさと、予測をすることの可能性について話し合った。難しくはあるものの、予想し続けることや、過去を振り返ってみることなどが必要なのではないかという意見があった。
 過去を振り返れば、例えば最近はランサムウェアの被害は増えているものの、サポート詐欺などのソーシャルエンジニアリングはいまだ多く、変わっていくものと変わらないものがあるということも考えておくべきだ。
 また、システム環境が変わったり、クラウドなどで拡大していくなかで、セキュリティという言葉が包含する内容が変わってきているし、利用者も広がっている。

 今はデジタルを使っていない組織はないといっても過言でない状況で、知らないうちにいろいろなシステムを使っており、そこには攻撃者が狙える場所が身近にあるということだ。攻撃を防止できないことを前提に被害を最少化する対応を考えられる企業も増えてきた。

 

 

      ​[武藤氏]         [仲上氏]​

 

 ここでセキュリティベンダーの視点から考えると、最近はアベイラビリティを考えることが多く、守るための製品やサービスも100点ではないことを前提に対応を考える方向に考え方も変わってきていると思う。
 新しいカテゴリや脅威に対して、ツールベンダーとサービスベンダーもセキュリティサービスを提供しているが、今後はデータが集まるプラットフォーマーが主要なセキュリティのプレイヤーになって来るだろう。また、スタートアップの企業も増えてきている。

 ユーザーから見ると、守るべきものに対して製品やサービスが出ては来ているが、何を選んでいいかわからないのが実態ではないか。様々に散らばった情報をどうやってユーザーに届けるのかは、セキュリティベンダー業界として考える必要があるだろう。

 現代は進化のスピードが速いし、管理しなければならない領域が広がっている。つまりはどこまで守るかは社会の共通認識とすべきということだろう。さらには新技術をどこまで使っていくのか、倫理感も重要になる。
 

                ​[西井氏]         [倉持氏

 将来、いったい何が問題になるのかというと、AIなどの新技術を活用したセキュリティ製品やサービスは出てきているし、使っていくべきだろうが、対して攻撃者もAIを悪用してくるということだ。
 これらに対抗するためには、様々なガイドラインや基準も出てきているが、それらに準拠してればそれで良いのかというと、そうとも言い切れない。基準などを惰性で回せばいいというものではなく、きちんとチェック機能を働かすなど、何のためにやっているのかを理解しておくことが重要だろう。

 ここまで様々な話をしてくると、セキュリティとは結局は大きな社会課題の一部だろうという意見で一致した。セキュリティに対しては経営の考え方が重要になってくるだろうし、そのためには多様な視点でセキュリティを見直さなければならないのではないか。BCPの観点で事業を継続するために何をどこまでやるのかは考えなければならないだろう、という意見をもってパネルディスカッションを終了した。

【閉会挨拶】

 最後に、CSIJ運営委員を務める和田 武春氏が、閉会の挨拶に立った。

 

 

[和田 CSIJ運営委員]

 CSIJでは、本日のパネルディスカッションのテーマでもあったように将来を見据えていくという観点で活動を行っていることを紹介した。
 続いて3つの分科会を紹介し、社会に必要とされるセキュリティ対策と、セキュリティ対策を実装する人材の輩出することを目的に分科会活動を行っているとした。
 最後に、日本全体のサイバーセキュリティレベルの改善・向上に寄与していくとし、CSIJへの参画を呼び掛けて締めくくった。

bottom of page