デジタル時代の「信頼」を支えるセキュリティ
AIやブロックチェーンが作るセキュアな社会

革新的なテクノロジーが登場する一方で、政府や企業などのICTシステムのハッキング、個人情報の漏えい、ビジネスメールを利用した詐欺などのサイバー脅威がますます深刻になっています。このような状況において、「セキュリティへの懸念がAI、IoT、5G、ブロックチェーンなど新たな技術の採用の妨げとなるべきではありません。セキュリティは新たな技術と相乗的に価値を創出していけるものなのです」と、富士通 サイバーセキュリティ事業戦略本部 本部長代理の森玄理は提起します。セキュリティへの懸念が革新的な技術を活用する際の障壁とならないために、必要なものとは何でしょう。「Trustedな未来社会」に向けた具体的な取り組みを紹介します。

[図]

Trustの連鎖によって流通するデータを管理する

2019年5月に開催した「富士通フォーラム2019」では、「デジタル時代の「信頼」を支えるセキュリティ」と題したプログラムで、現在のセキュリティ課題やその解決策について、3人の登壇者から講演がありました。

最初に登壇したのは、“ソフトとハードを融合させて現実世界を計算可能にする”ことをミッションに掲げる、Preferred Networksの最高セキュリティ責任者(CSO)である高橋正和氏です。同社は、肌の状況から皮膚ガンの判断を可能にしたり、バラバラに置かれているモノの重心を画像から判断しロボットで持ち運びを可能にするといった、これまでのロジックでは導けなかった領域に現実的な解をもたらしています。医療やロボット、エンターテイメント等のさまざまな領域で最新AIを活用していますが、それらを普及させる必要条件として「セキュリティを体系化した取組み」を挙げました。

株式会社Preferred Networks
執行役員
最高セキュリティ責任者(CSO)
高橋 正和氏

経営視点のセキュリティ

高橋氏は、「クラウドの利用が前提になると、セキュリティを自社だけで完結させるのは難しくなります。また、今後はユーザーのデバイスに侵入せず情報を抜き取るような攻撃も増えていくでしょう」と、ICTシステムのユーザーという立場にたって、セキュリティの課題について述べました。

経営観点から見ると、情報セキュリティリスクはごく限られた領域の話にとどまってしまいがちです。多くの経営リスクがある中で、単にサイバー攻撃が危険だといわれても、経営課題として向き合うことは難しいからです。そのような中で重要なのは、セキュリティ原理主義でもリスクベースでもなく、“業務執行ベース”、すなわちセキュリティ対策を会社の業務の一つとして捉えて、取り組む姿勢です。

業務執行ベースでカギになるのは、経営理念や方針などのビジネスコンセプトを頂点とし、その下にITコンセプト、情報セキュリティコンセプトを設定した上で、情報セキュリティに係るプロジェクト、プラン、アクティビティ、タスクに落とし込んでいくことです。これにより、セキュリティがビジネスにどう貢献するかが理解でき、セキュリティに対して具体的な視点を持つことができるようになります。日本ネットワークセキュリティ協会(JNSA)ではこれらについて「CISOハンドブック」としてまとめています。この中にあるCISOダッシュボードを使えば、経営会議において経営判断に役立つ包括的なセキュリティに関する情報を提供することができます。

[図] CISOダッシュボード:業務執行としてのセキュリティ

また最近は、流通するデータのセキュリティをどう担保するかといった点も非常に重要です。AIの精度を高めるには、原料となる学習データの質が重要であり、いつ、どこで、誰が、どう関わったかの情報を含めて把握、管理する必要があります。高橋氏は、AI応用製品を様々な素材を組み合わせた幕の内弁当にたとえ、それぞれの食品について入口、プロセス、出口でその真正性を担保して安全性を確保する「HACCP(ハサップ)*1」のような仕組みづくりが、AIにも必要ではないかと持論を展開しました。

  • *1.
    HACCP:食品を製造する際に、工程上の危害を起こす要因を把握・分析し、効率よく管理できる部分を連続的に管理して安全を確保する食品衛生管理の手法。

データは“21世紀のオイル”、その管理の重要性

次に登壇したのは、富士通研究所セキュリティ研究所長(兼)ブロックチェーン研究センター長の津田宏です。津田は、デジタル時代には新たなリスクが発生していると述べ、情報漏洩やサイバー攻撃などで奪われる・破壊されるリスクに加えて、例えばEUのGDPR(一般データ保護規則)に代表されるようなパーソナルデータの扱いに違反した際の制裁金なども新たなリスクとして考慮すべきといいます。その上で、富士通が提案するトラストには3つの段階があると示しました。

トラスト1.0は、人と人の間のローカルな信頼。トラスト2.0は、国や組織、制度などが保証する信頼。そして、今求められるのはトラスト3.0であり、これはテクノロジーがつくる信頼のことです。ブロックチェーンを基に生み出された仮想通貨(暗号資産)がその一例です。多様化、複雑化するリスクに対応するためには、トラスト3.0が重要となり、セキュリティ技術はそれを実現する重要なピースとなります。

株式会社富士通研究所
セキュリティ研究所長
(兼)ブロックチェーン研究
センター長
津田 宏

[図] トラストを支える仕組みの変遷。トラスト3.0はテクノロジーがベースとなる

このトラスト3.0の実現に向け、津田は3つのキーワードをあげました。「(セキュリティ+プライバシー)バイデザイン」「ブロックチェーン」そして「AIによるセキュリティ専門家の能力拡張(IA:Intelligence Amplifier)」です。

1つ目の「バイデザイン」はプライバシーやセキュリティに関して、設計段階から対策するという考え方です。データは“21世紀のオイル”とも呼ばれ、これからの時代は流通するのが前提になるため、一カ所で抱えてがっちり守るという考え方はできません。特に個人データに関しては各国で法規制が進み、匿名化、同意管理、情報銀行など守り方も変わっていきます。データ利活用のリスクを未然に防ぐには、最初からセキュリティやプライバシーを配慮することが重要になります。

富士通はこの考えに基づき、滋賀県大津市様と共にデータ利活用における実証実験を行いました。大量の市民データを活用する前に、プライバシーリスク評価ツールで個人特定リスクを見える化し、匿名化によりリスクを低減。このようにプライバシーバイデザインを実現することで、安心かつ効率的なデータ活用・提供が可能になったと評価いただいたといいます。

AIの原料となるデータを、企業間をまたいで追跡

2つ目のキーワードである「ブロックチェーン」は、金融・仮想通貨の基盤技術として生まれました。最近では非金融分野への応用が進み、透明性を持って“つなげる技術”として期待されています。

ブロックチェーンは、抱えているデータの非改ざんは保証しますが、他システムとの連携などブロックチェーンに入力する時点でデータが改ざんされた場合には無力です。異なる仮想通貨の交換、ブロックチェーン同士、ブロックチェーンと既存システムの連結の部分で透明性をいかに確保するかが課題となります。それを解決し、セキュアで透明性のある連結を可能にする技術がコネクションチェーンで、富士通研究所が2017年に開発しました。コネクションチェーンを利用することで、異なる仮想通貨間での決済はもちろん、受発注の流れに係る商流ブロックチェーンとお金の流れに係る金流ブロックチェーンをトラストにつなぐことができます。

[図] コネクションチェーンは、異なる仮想通貨間での決済や商流ブロックチェーン/金流ブロックチェーンをトラストにつなげる

さらに津田は革新的な技術として「Chain Data Lineage(チェーンデータリネージュ)」も挙げました。これは、AI等でデータを利活用したい企業が、そのデータがどのようにつくられたのかを確認できる技術です。企業をまたがったデータ来歴を取得でき、その情報はブロックチェーンで管理されるため改ざんが不可能です。個人データに関しては本人が同意されたものだけが流通するので、法規制やガイドラインに則った個人データの利用も可能になります

[図] Chain Data Lineageは、企業をまたがったデータ来歴の取得と本人同意された個人データのみの流通を実現する

AIの精度は学習データに依存し、学習データを操作することでAIの出力を偏らせる事例もあります。この性質を狙ったデータテロが早晩起こると考えられ、それを防ぐ技術がChain Data Lineageといえます。この技術によりデータの信頼性を担保したうえで、「様々なサービスに散在した個人の運転履歴データ、ライフログなどを集約し、最適な保険料を算出するといったサービスを提案しています」とテレマティクス保険における活用を一例として紹介しました。

AIにより、セキュリティ人材の能力を増幅する

3つ目のキーワードは、「AIによるセキュリティ専門家の能力増幅(IA:Intelligence Amplifier)」です。日本政府が構想する「Society 5.0」ではビジネスの現場がつながる一方で、サイバー攻撃リスクは高まっています。その脅威に対処するセキュリティ人材不足が深刻になるなか、AIによってセキュリティ専門家の能力を増幅(Amplifier)する重要性に触れました。

サイバー攻撃対策は攻撃されることを前提に、監視、分析、対処、体制強化のマネジメントサイクルを常に回し続けなくてはいけません。特に分析や対処の部分では専門家の力が必要で、この能力を増幅するために富士通は攻撃者の行動の普遍性を抽出するAI技術を提案しています。

その1つが「高速フォレンジック」。これはサイバー攻撃者による一連の操作コマンドを、解析によって攻撃の証拠、攻撃の手口を明らかにしていくものです。従来はサーバのログ解析に人手で3カ月かかったレベルの攻撃を、同技術を利用すれば調査や分析がおおよそ1時間で可能になり、専門家の業務効率化に貢献します。総務省管轄の国立研究開発法人情報通信研究機構(NICT)のサイバー攻撃を観測する基盤「STARDUST」上で、富士通は高速フォレンジックの共同研究を行い、その効果も実証しています。

また、富士通独自のAI技術「Deep Tensor(ディープテンソル)」を活用し、攻撃者の様々なログを統合して、マルウェア侵入の検知を高精度化する技術も開発しています。AIが苦手としていた攻撃活動の「グラフ」データをDeep Tensorに学習させた事例では97%という高い検知精度を達成し、これはほかの手法を用いた場合に比べて15~数十ポイント精度が高かったといいます。このような技術により、セキュリティ人材の能力を増幅することができ、セキュアな社会の実現に貢献していきます。

テクノロジー×セキュリティ=「Trustedな社会」

両者の講演を受けて森は、富士通が提供する付加価値として2つを挙げました。1つは、つながるサービスをセキュアに構築することでお客様の成長・利益の拡大に貢献する点。もう1つは、セキュリティサービスそのもので、お客様のサイバーセキュリティリスクを低減し、損害を極小化する点です。

セキュリティサービスとしての付加価値は、往々にして粒々の機能提供にとどまってしまう傾向があります。そのような粒々の機能提供ではなく、トータルプロセス、すなわち面的な施策として提供することが重要です。富士通はこのような考え方にもとづき、お客様のセキュリティライフサイクルをトータルにカバーするサービスを提供します。リスクの特定・防御から攻撃(脅威)の検知、インシデント発生時の復旧・事後の再発防止対応までを一貫してご支援します。

また、セキュリティライフサイクルのそれぞれの段階において、お客様の不安や悩みの原因を具体化するところから、セキュアなシステムを構築・運用して再発防止策を講じるところまで、高度な専門人材が中心となって対応できるのも富士通の強みです。

このような取り組みによりお客様をご支援し、技術革新とセキュリティが相乗的に価値を創出してその恩恵を最大限に享受できる「Trustedな社会」の実現に貢献できるよう、富士通はこれからも挑戦していきます。

富士通株式会社
サイバーセキュリティ事業
戦略本部
本部長代理
森 玄理

2019年7月31日

「サイバーセキュリティ」に関するお問い合わせ・ご相談

Webでのお問い合わせ

お電話でのお問い合わせ

ページの先頭へ