サイバーセキュリティの実装化へ「ジュピタープロジェクト」~松田学の新著より【その5】 | 松田学オフィシャルブログ Powered by Ameba
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

松田学オフィシャルブログ Powered by Ameba

日本を夢の持てる国へという思いで財務省を飛び出しました。国政にも挑戦、様々な政策論や地域再生の活動をしています。21世紀は日本の世紀。大震災を経ていよいよ世界の課題に答を出す新日本秩序の形成を。新しい国はじめに向けて発信をしたいと思います。

サイバーセキュリティの実装化へ「ジュピタープロジェクト」~松田学の新著より【その5】

 サイバーセキュリティが「未来社会の番人」ともいえる喫緊の課題であることは、すでにこのシリーズでも述べました。大事なことは、これを広く社会に普及、実装化していくことです。

 本シリーズ前回では、サイバーセキュリティの要諦が、実は人的・社会的側面にあることを論じました。↓

https://ameblo.jp/matsuda-manabu/entry-12408689015.html

 今回は、その考え方を踏まえてセキュリティシステムを開発し、まずは広く、日本の企業や個人などに実装を促していくことから世界のサイバーセキュリティに貢献していくことを目指そうとする「ジュピタープロジェクト」を取り上げます。

●太陽系の番人ジュピター「木星」=未来社会の番人

 ジュピター(Jupiter)といえばモーツァルトの中でも私がいちばん好きな交響曲41番の通称でもありますが、これは木星の英語名で、ローマ神話に登場する気象現象を司る神ユーピテルが語源です。

木星は地球の1,300倍の体積を有する太陽系最大の惑星で、巨大であるがゆえに有する強い引力が太陽系に突入する隕石などを吸引してくれることから、太陽系の守り神と位置付けられる星です。まさにサイバーセキュリティを「未来社会の番人」と名付けた私の考えと一致する名称です。

 私は東京大学大学院情報学環で客員教授としてSisocというサイバーセキュリティの講座に属し、政策提言部会長を務めておりますが、そこでの政策提言の柱の一つが、サイバーセキュリティの真の課題が人的要因への対処であるという点にあります。ジュピタープロジェクトが情報セキュリティ構築の上で、人的要因への対処に焦点を当てていることが、私がそのリーダーを引き受けた理由の一つです。

こうした現場でのシステム開発や社会への実装化事業を通じて得られる知見や情報は、その後の研究や政策提言にも活かしていきたいと考えています。また、このプロジェクトを、セキュリティを核とする新たな「日本ブランド」の構築に結びつけ、未来社会への扉を開くことで人類社会を次のステージへと進めていくことに貢献できればと思っています。


本プロジェクトは、具体的には、人工知能(AI)やブロックチェーンを活用して企業/組織の内部管理システムを開発する一方で、ホワイトハッカーの人材育成の学校運営を図ることを軸にスタートしました。サイバーセキュリティへのAIの活用も人材育成も、上記Sisocの部会で私が提言してきた内容です。その提言には、次を盛り込んでいます。

「現実に、情報漏えいや情報改竄など、企業等で生じてきたサイバー被害の多くについて、内部による関与が指摘されている。組織内における人員管理の問題については、…特に日本の場合は善意を前提としている場合が多く、悪意を前提にした人員管理へと発想を転換することの必要性が指摘されるところである。

法令や規則を制定しても、また、それ以前の問題として、教育等を通じてITに関するモラルやマナーを醸成しても、あるいは、企業等の内部管理体制を組織的に強化してみても、人間の悪意に基づく行動を十分に防ぐことは困難な面がある。

これについて、人員管理の精度を高め、悪意に基づく行動のより完全な防圧を図るため、AI(人工知能)を活用した内部管理システムを構築することが、一つの解決策になる。

AIについては、現在もすでに、企業等における新規人材採用に際しての人物判定、適正判定に、AIが活用される事例がみられるようになっている。また、精神科医療においてもAIの活用がすでに始まっている。

企業等の組織がサイバーに関わる人材の採用や登用、人員管理に当たり、悪意を有する者や悪意に流れやすい者、あるいは、そのような状況に置かれている者などをAIが判定する仕組みを開発することは、現状において決して困難な課題ではなく、これに対する企業等組織側からも大きなニーズが見込まれると考えられる。」

ジュピタープロジェクトはまさに、ここで提言したような、AIを活用した内部管理システムを開発することを目指すものです。

●AIによる内部管理システムを始めとするトータルソリューション

 現実問題として、サイバーセキュリティの上で大半の企業/組織が、内部管理上の深刻な問題を抱えています。特に日本の場合、「性悪説」を基本にセキュリティを組み立てる米国などとは逆に、人間「性善説」に暗黙のうちに立脚していることが、インシデントの大半が内部者が関わっているという状況をもたらす原因にもなっているようです。

 日本の実態について独立行政法人情報処理推進機構が調べた数字では、調査対象企業200社のうち内部不正を経験した企業は65.5%にのぼっています。また、情報漏洩の8割は人的要因によるものだということです。

 ジュピタープロジェクトでは、このような情報漏洩を防ぐために、AIを用いた従業員のWork Index(労働指数)のリアルタイム自動測定を行い、それらのデータを改竄不可能な形で管理していくシステムを構築することをめざしています。そこにはブロックチェーン技術も活用されることになります。

不正をする目的で多いのは、①同業他社で自身の転職を有利にするために顧客情報などを持ち出す、②情報の転売をして現金収入を得るために情報を持ち出す、③勤務する企業への怨恨による不正などですが、いずれも個人固有の挙動です。

そもそも人間は弱いものです。最初は善意の者でも、他者から脅される、ハニートラップにかかるなど色々なことが考えられます。

人は犯罪行為をする際に、決して隠せないものがあります。反射による挙動です。犬が嬉しいときに尻尾を振る行為は、脳で考えて尻尾を振っているものではありません。反射による行為です。人間もさまざまな精神状態がすべて、筋肉に現れます。これを応用した機器として、うそ発見器でも活用されています。

人間行動や精神状態のチェック、判定にAIを用いることが主眼となりますが、こうした「監視」そのものが日本の社会や組織には馴染まないという見方もあるでしょう。これはそれぞれの組織の考え方に応じて選択できるメニューとしつつ、ジュピタープロジェクトでは、さまざまなセキュリティシステムを組み立てることでトータルなソリューションを提供することが目指されています。


その一つが、新たなSOCの仕組みの構築です。SOCとは、Security Operation Center(セキュリティオペレーションセンター)の略称で、24時間365日、休むことなくネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織のことです。

そのため、優秀なセキュリティ人材を集め、国内と海外に配置し、有人による監視とリアルタイムな対策を講じますが、それだけでなく、AIが絶えず新しい攻撃パターンを学習し、まだ被害を受けていない世界中のユーザーに対してシステムの更新をしていきます。

もう一つが、内部情報の無価値化です。これはサイバー攻撃者の心理を突くシステムの構築であり、攻撃行為によって自身が被害を被る可能性があれば、攻撃をしなくなる可能性が高まります。その手段の一つとして、社内情報をAIによってシュレッダーのように細分化させ、これをブロックチェーン上に分散管理することが考えられます。

もし、攻撃者に穴を開けられて情報を盗取されたとしても、分割された情報であれば何の価値もありません。攻撃者がもし、価値のある情報を取りたいなら、ノード上に分散された情報を取りに来る行動を強いられます。これは侵入の足跡を残すことにつながり、リスクが大きく、攻撃者は撤退するものと考えられます。

●まずはセキュリティ対策の社会への実装

以上、詳しくは私の近著「サイバーセキュリティと仮想通貨が日本を救う」(創芸社)をお読みいただければと思いますが、ここで述べたのは本プロジェクトが当初から想定しているシステム開発です。内外の英知を結集して実現を目指しているところです。

ただ、セキュリティ対策それ自体は急務です。当面は、その社会実装をできるところから進めていくために、中小零細企業や個人などが安価で手軽に装着できる「セキュリティボックス」を販売することになります。

これは私も提言していることですが、サイバー攻撃は、どこかに穴が開いていると、そこから社会全体に広がっていく伝染病のような性格を持つものです。社会全体としての対応が必要で、その意味では、セキュリティ対策は誰もが打たねばならない法定予防接種のようなものかもしれません。一種の公共財的な性格を持つものですので、国民合意のもとに一定の公的負担が必要な分野だといえます。

合意形成に時間がかかり、なかなか国が動かないのであれば、民間の力で、安価なセキュリティ対策製品を大量に普及させていく事業が必要になります。

また、本プロジェクトは、セキュリティ対策が不十分なため流失問題が相次いでいる仮想通貨について、有効なセキュリティ対策の技術の導入を早急に進めることも視野に入れています。これは、必然的に未来社会の基盤となっていく暗号通貨を「みらいのおかね」として信頼できるものにしていく上で不可欠なことだと思います。

なお、ジュピタープロジェクト実施のため、その事業資金の一部がICO(ジュピターコイン)で調達されることになった際に、私が、このICOの実行者であるとの誤解が一部に広がっていたようです。ICО自体は私が所属していない関係会社が行っているもので、サイバーセキュリティのシステム開発の企画と社会実装の推進を唱道することが私のリーダーとしての役割であって、私自身はICOなどの実務には関わっておりまぜん。

ただ、一般論としてICO(イニシャル・コイン・オファーリング…トークンという独自の仮想通貨を発行することにより、仮想通貨で広く資金調達を行う行為)は、従来のIPO(イニシャル・パブリック・オファーリング…株式公開)に代わる、新たな機動的資金調達手段として注目されています。しかし、投資家保護の観点からこれを規制する法整備がなされておらず、多くの課題を抱えています。

最近では、ICOのさらに先を行くSTO(Security Token Offerring…セキュリティ・トークン・オファーリング:電子型証券)が米国では始まっており、今後の暗号通貨による資金調達の主流になることが予想されています。

この点については、稿を改めて論じます。

 

松田学のビデオレター、第95回は「黄金の国とジュピター、防災とサイバーセキュリティの最前線」

チャンネル桜918日放映。