NEC・CISO淵上真一氏が説く「フロンティアAI」時代のセキュリティ──「対峙すべきは未知ではなく、高速化された既存の課題」
「Tanium Converge 2026 Tokyo」 NEC 淵上真一氏 講演&インタビュー
資産管理とパッチ適用の実務
──講演では資産管理と粒度の重要性を提言していました。なぜ今、粒度なのでしょう。
淵上:資産管理ができていないと、脆弱性が出たときに自社に関係があるかどうかも判断できません。これはベース(基本)です。これまでは大まかな管理でよかったかもしれませんが、フロンティアAIによる脆弱性の発見はソースコード診断なので、公開されているOSSが標的になりやすい。過去のLog4jのときに「自分たちのどこにモジュールがあるのか」と大騒ぎになりました。あの“Log4j祭り”を毎回繰り返さないためにも、SBOMのようにモジュール単位・階層で資産管理をしておくことが重要だ、という話をしています。
──市民開発やバイブコーディング、AIエージェントが作るものは、資産管理にどう取り込むのですか。
淵上:バイブコーディングでもOSSのライブラリを使うことは十分考えられるので、市民開発したものも当然対象に入れるべきです。ただ、それらを管理するのは難しい。まずは作ったときに自分が作ったものを登録する仕組みをつくり、その基盤を本体の資産管理に接続していく。そういうイメージで管理するのが現実的な一案だと思います。
──パッチ適用はどこまで自動化していますか。
淵上:エンドポイントはサーバーに比べて判断の基準を緩くして配信し、ある程度は自律・自動化しています。導入しているソリューションを5年ほど使っていますが、これまでパッチが原因でビジネスアワーに何かが止まったことはありません。攻撃側がAIで進化するなら、防御側もペネトレーションテストをAIで自動化できる。エージェンティックAI(AIエージェント)にやらせれば、人手をかけずコストも抑えられ、海外拠点にもわざわざ行かずに頻度高く実施できます。攻撃側の視点に立ったテストにAIを活用するのは有効な対応です。
人材育成と、日本のセキュリティへの提言
──攻撃側がAIで高度化するなか、これからのセキュリティ人材に求められる力は何でしょう。
淵上:特定分野に深い知見を持つスペシャリストは今後も必要です。ただ一般論で言えば、これからのセキュリティエンジニアに求められるのは特定の分野へのフォーカスよりも「俯瞰」だと思います。タスクやある程度の推論はAIがやってくれる。AIが苦手なのは、システム全体を俯瞰してどうすべきか、何の目的で使っているのかというコンテキストまで含めて判断する部分です。全体を捉える力が、これから求められると考えています。
──若手の育成については、どう考えていますか。
淵上:AIでできることはAIでやり、人間は人間がやるべきことに集中すべき、というのはその通りです。ただ一方で、経験からしか得られない知識やスキルもある。AIにタスクを任せきると、結局その経験を奪われ、成長の機会を失いかねません。だからこそ、あえて経験する場をつくることが、これからプロフェッショナルになる若手には重要だと思います。
──NECとして、また総務省の最高情報セキュリティアドバイザーとして、今後の日本のセキュリティにどう取り組んでいきますか。
淵上:一言で言えば「バランス」だと考えています。我々民間は、最先端のものを素早く取り込んでいろいろ試せる。一方で国は、重要システムや国民の生命・財産に関わるものを扱うため、重厚で慎重な構えが要る。民間の試行錯誤から生まれたベストプラクティスを取り入れれば、行政もスピードをもってキャッチアップできるでしょうし、民間も、土台が揺らげば意味がないという点では、国のきちんとした重厚なセキュリティに見習うべきところがある。両者は補完関係にあり、民間と国の連携が必要になってくる、というのが私の考えです。
この記事は参考になりましたか?
- Security Online Press連載記事一覧
-
- NEC・CISO淵上真一氏が説く「フロンティアAI」時代のセキュリティ──「対峙すべきは未...
- PQC移行時に企業は何から始めるべき?高木教授が説く、ベンダーが売り込む「欠陥PQC」の見...
- 今や量子コンピュータは誰もがアクセス可能に──2035年に迫るPQC移行の技術課題を高木剛...
- この記事の著者
-
京部康男 (編集部)(キョウベヤスオ)
ライター兼エディター。翔泳社EnterpriseZine/AIdiverには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
