デジタル時代の「信頼」を支えるセキュリティ
AIやブロックチェーンが作るセキュアな社会

革新的なテクノロジーが登場する一方で、政府や企業などのICTシステムのハッキング、個人情報の漏えい、ビジネスメールを利用した詐欺などのサイバー脅威がますます深刻になっています。このような状況において、「セキュリティへの懸念がAI、IoT、5G、ブロックチェーンなど新たな技術の採用の妨げとなるべきではありません。セキュリティは新たな技術と相乗的に価値を創出していけるものなのです」と、富士通 サイバーセキュリティ事業戦略本部 本部長代理の森玄理は提起します。セキュリティへの懸念が革新的な技術を活用する際の障壁とならないために、必要なものとは何でしょう。「Trustedな未来社会」に向けた具体的な取り組みを紹介します。

Trustの連鎖によって流通するデータを管理する

経営視点のセキュリティ

高橋氏は、「クラウドの利用が前提になると、セキュリティを自社だけで完結させるのは難しくなります。また、今後はユーザーのデバイスに侵入せず情報を抜き取るような攻撃も増えていくでしょう」と、ICTシステムのユーザーという立場にたって、セキュリティの課題について述べました。

経営観点から見ると、情報セキュリティリスクはごく限られた領域の話にとどまってしまいがちです。多くの経営リスクがある中で、単にサイバー攻撃が危険だといわれても、経営課題として向き合うことは難しいからです。そのような中で重要なのは、セキュリティ原理主義でもリスクベースでもなく、“業務執行ベース”、すなわちセキュリティ対策を会社の業務の一つとして捉えて、取り組む姿勢です。

業務執行ベースでカギになるのは、経営理念や方針などのビジネスコンセプトを頂点とし、その下にITコンセプト、情報セキュリティコンセプトを設定した上で、情報セキュリティに係るプロジェクト、プラン、アクティビティ、タスクに落とし込んでいくことです。これにより、セキュリティがビジネスにどう貢献するかが理解でき、セキュリティに対して具体的な視点を持つことができるようになります。日本ネットワークセキュリティ協会（JNSA）ではこれらについて「CISOハンドブック」としてまとめています。この中にあるCISOダッシュボードを使えば、経営会議において経営判断に役立つ包括的なセキュリティに関する情報を提供することができます。

また最近は、流通するデータのセキュリティをどう担保するかといった点も非常に重要です。AIの精度を高めるには、原料となる学習データの質が重要であり、いつ、どこで、誰が、どう関わったかの情報を含めて把握、管理する必要があります。高橋氏は、AI応用製品を様々な素材を組み合わせた幕の内弁当にたとえ、それぞれの食品について入口、プロセス、出口でその真正性を担保して安全性を確保する「HACCP（ハサップ）＊1」のような仕組みづくりが、AIにも必要ではないかと持論を展開しました。

• ＊1.
  HACCP：食品を製造する際に、工程上の危害を起こす要因を把握・分析し、効率よく管理できる部分を連続的に管理して安全を確保する食品衛生管理の手法。

データは“21世紀のオイル”、その管理の重要性

このトラスト3.0の実現に向け、津田は3つのキーワードをあげました。「（セキュリティ＋プライバシー）バイデザイン」「ブロックチェーン」そして「AIによるセキュリティ専門家の能力拡張（IA：Intelligence Amplifier)」です。

１つ目の「バイデザイン」はプライバシーやセキュリティに関して、設計段階から対策するという考え方です。データは“21世紀のオイル”とも呼ばれ、これからの時代は流通するのが前提になるため、一カ所で抱えてがっちり守るという考え方はできません。特に個人データに関しては各国で法規制が進み、匿名化、同意管理、情報銀行など守り方も変わっていきます。データ利活用のリスクを未然に防ぐには、最初からセキュリティやプライバシーを配慮することが重要になります。

富士通はこの考えに基づき、滋賀県大津市様と共にデータ利活用における実証実験を行いました。大量の市民データを活用する前に、プライバシーリスク評価ツールで個人特定リスクを見える化し、匿名化によりリスクを低減。このようにプライバシーバイデザインを実現することで、安心かつ効率的なデータ活用・提供が可能になったと評価いただいたといいます。

AIの原料となるデータを、企業間をまたいで追跡

2つ目のキーワードである「ブロックチェーン」は、金融・仮想通貨の基盤技術として生まれました。最近では非金融分野への応用が進み、透明性を持って“つなげる技術”として期待されています。

ブロックチェーンは、抱えているデータの非改ざんは保証しますが、他システムとの連携などブロックチェーンに入力する時点でデータが改ざんされた場合には無力です。異なる仮想通貨の交換、ブロックチェーン同士、ブロックチェーンと既存システムの連結の部分で透明性をいかに確保するかが課題となります。それを解決し、セキュアで透明性のある連結を可能にする技術がコネクションチェーンで、富士通研究所が2017年に開発しました。コネクションチェーンを利用することで、異なる仮想通貨間での決済はもちろん、受発注の流れに係る商流ブロックチェーンとお金の流れに係る金流ブロックチェーンをトラストにつなぐことができます。

さらに津田は革新的な技術として「Chain Data Lineage（チェーンデータリネージュ）」も挙げました。これは、AI等でデータを利活用したい企業が、そのデータがどのようにつくられたのかを確認できる技術です。企業をまたがったデータ来歴を取得でき、その情報はブロックチェーンで管理されるため改ざんが不可能です。個人データに関しては本人が同意されたものだけが流通するので、法規制やガイドラインに則った個人データの利用も可能になります

AIの精度は学習データに依存し、学習データを操作することでAIの出力を偏らせる事例もあります。この性質を狙ったデータテロが早晩起こると考えられ、それを防ぐ技術がChain Data Lineageといえます。この技術によりデータの信頼性を担保したうえで、「様々なサービスに散在した個人の運転履歴データ、ライフログなどを集約し、最適な保険料を算出するといったサービスを提案しています」とテレマティクス保険における活用を一例として紹介しました。

AIにより、セキュリティ人材の能力を増幅する

3つ目のキーワードは、「AIによるセキュリティ専門家の能力増幅（IA：Intelligence Amplifier)」です。日本政府が構想する「Society 5.0」ではビジネスの現場がつながる一方で、サイバー攻撃リスクは高まっています。その脅威に対処するセキュリティ人材不足が深刻になるなか、AIによってセキュリティ専門家の能力を増幅（Amplifier）する重要性に触れました。

サイバー攻撃対策は攻撃されることを前提に、監視、分析、対処、体制強化のマネジメントサイクルを常に回し続けなくてはいけません。特に分析や対処の部分では専門家の力が必要で、この能力を増幅するために富士通は攻撃者の行動の普遍性を抽出するAI技術を提案しています。

その1つが「高速フォレンジック」。これはサイバー攻撃者による一連の操作コマンドを、解析によって攻撃の証拠、攻撃の手口を明らかにしていくものです。従来はサーバのログ解析に人手で3カ月かかったレベルの攻撃を、同技術を利用すれば調査や分析がおおよそ1時間で可能になり、専門家の業務効率化に貢献します。総務省管轄の国立研究開発法人情報通信研究機構（NICT）のサイバー攻撃を観測する基盤「STARDUST」上で、富士通は高速フォレンジックの共同研究を行い、その効果も実証しています。

また、富士通独自のAI技術「Deep Tensor（ディープテンソル)」を活用し、攻撃者の様々なログを統合して、マルウェア侵入の検知を高精度化する技術も開発しています。AIが苦手としていた攻撃活動の「グラフ」データをDeep Tensorに学習させた事例では97%という高い検知精度を達成し、これはほかの手法を用いた場合に比べて15～数十ポイント精度が高かったといいます。このような技術により、セキュリティ人材の能力を増幅することができ、セキュアな社会の実現に貢献していきます。

テクノロジー×セキュリティ＝「Trustedな社会」

2019年7月31日