通信の秘密と無害化措置のジレンマ、企業への影響とは?
辻:続いて、新井さんには民間の立場から問題提起をお願いします。
新井悠氏(以下、新井):まず、日本でアクティブサイバーディフェンスを導入する際には、民間企業や組織にとってのコスト負担が課題です。特に、日本では「通信の秘密」を守る必要があるため、この原則を侵さないようにするか、場合によっては法改正も視野に入れる必要があります。攻撃元や攻撃先の情報を集めるためには通信データの記録が不可欠ですが、この記録にはコストがかかるため、通信事業者に負担を求めることになる。これらは最終的に利用者にしわ寄せがいくことになるでしょう。能動的サイバー防御は、しばしば政府の役割と見なされがちですが、実際には私たち全員がその費用を負担しなければならない可能性があるのです。
もう1つの課題は、国内企業が攻撃されて、侵入の発信元になってしまった場合です。たとえば、ショッピングサイトや決済サービスを運営している企業のサーバーが無害化されると、その企業は事業継続ができなくなります。このような事態に備えるためには、マニュアルの整備や準備作業、バックアップのメンテナンスなどを行う必要がありますが、これらにも相当なコストがかかります。
辻:もし日本国内のクラウドサービス事業者の基盤が乗っ取られると、その上で動いているすべてのサービスが操作されてしまう恐れがありますよね。そうした攻撃を受けた場合、無害化措置を講じることでサイトやサービスが停止し、国内のサービス全体に影響が及ぶ可能性がある。ですから、こうしたリスクを考慮した上で対策コストを見積もる必要があるということですね。
新井:そうなんです。民間企業や事業者にとってはかなり厄介ですよね。
[画像クリックで拡大]
人材不足には「AIとプラス・セキュリティ」で対応せよ
新井:コストに加えて、人材の問題も深刻です。私は大学で10年近く非常勤講師を務めていますが、少子化の問題を切実に感じます。もちろん人材育成は必要ですが、AIや自動化、オペレーションの自律化などを活用して、判断を迅速化・効率化する技術的な解決策も積極的に取り入れるべきだと思います。特に能動的サイバー防御の分野では、攻撃者側が既にAIに置き換わりつつあり、以前は人が操作していた攻撃も、完全自動化により驚異的なスピードで行われる可能性があります。能動的サイバー防御を推進していくためには、人の育成だけではなく技術面での対応も求められると考えます。
名和:教える側の人材不足というのも深刻ですね。
辻:はい、それでよく叫ばれているのが「プラス・セキュリティ」という発想です。業務がわかっている人にセキュリティの知識をプラスしていくアプローチ方法ですね。
名和:私もフォレンジックなどの人材育成に関わっているのですが、資格だけをたくさん持っていても実際には動けない人がとても多い。むしろアプリケーションの開発を10年以上やってきた人にセキュリティを教えると意外にできたりするんです。業務を知り、運用していることで培われる基礎体力みたいなものがあるのでしょうね。
