日本スマートフォンセキュリティ協会(JSSEC)は2017年2月8日、都内のベルサール神田において、「JSSEC セキュリティフォーラム 2017 スマートフォン/IoT、その先にあるICT社会のセキュリティについて考える」を開催しました。JSSECでは、これまで「スマートフォンのセキュリティ」をテーマに様々な活動を展開してきましたが、今回は「IoT」や「AI」「制御システム」など、スマートフォンから一歩踏み込んだシンポジウムを企画しました。基調講演には、JSSEC代表理事 会長である東京電機大学 学長 安田 浩氏が「スマートフォン/IoTその先にあるシンギュラリティの世界とは?」と題する講演で登壇しました。「ウェブの先にあるIoTやAIがもたらす未来像」と「求められるセキュリティ」について説明した上で、セキュアなIoT活用こそは「企業の品格になる」という認識を示しました。
あらゆるモノがつながる「Web3.0」の時代
安田氏が基調講演のテーマとして取り上げたのは、「ウェブの先にあるIoTやAIがもたらす未来とその重要性、そしてIoT時代に求められるセキュリティ」。IoTに大きく依存した世の中がまもなく到来します。私たちはセキュリティとどのように向き合っていかなければならないのでしょうか。
セキュリティの本題に入る前に安田氏はまず、今日の「ウェブ」に至るまでの通信の歴史を紐解きました。今日のインターネット環境は、ひとつひとつの技術の進化を積み上げたものです。一対一の通信による「電話」、さらに一対Nの「放送」へ進化しましたが、インターネット以前は双方向と呼べるものではありませんでした。
インターネットの登場とネットワークの高速化により、はじめて「リアルタイムでのN対Nのコミュニケーション」が可能になったのです。「大勢で議論をしながらコンセンサスを作り上げていくのが真のコミュニケーション。それがウェブによって実現可能となった」と安田氏は指摘します。
1990年代の後半に「第3のメディア」として登場したウェブに関しても、最初から現在のような複雑な仕組みを備えていたわけではありません。「WEB 1.0」では、一方通行であるものの、誰でも放送局のように情報を発信できるようになりました。さらに「WEB 2.0」では、ユーザー参加型のブログやSNSなどで双方向のコミュニケーションが可能になります。
そして今、IoTによりモノとモノを繋ぐ「WEB 3.0」の時代を迎えつつあります。安田氏は、現在の状況について、「これまでは人間と人間の通信だったのが、機械と機械、人間と情報などあらゆるものが繋がる時代を迎えようとしている」と述べました。
「WEB3.0」で実現される「タイムマシン」とは
それでは、「WEB 3.0」の世界では、どのようなことが実現されるのでしょうか。安田氏はその一例として「タイムマシン」を挙げました。ここで言う「タイムマシン」とは、あらゆる「モノ」と「情報」が繋がり、過去を仮想的に再構築できることを示します。
たとえば、「街の風景」で考えると、10年前の銀座について書かれた新聞記事の内容を映像化できれば、あたかも過去へタイムトラベルをしたかのように現在から10年前の銀座を見ることができます。安田氏は、「モノと情報が繋がることで、時間を超えることができる」と述べ、このようなコンセプトは、双方向通信を超えた「WEB3.0」の重要なポイントだと強調しました。
そのように考えると、「WEB3.0」の世界で重要となるのは、国内外からいかに情報や知識を集めるか、ということになります。そしてさらに重要となるのは「情報を発信すること」(安田氏)です。安田氏は「ウェブやIoTでは発信をしない人間や組織は全く意味を持たなくなってしまう」と指摘しました。「WEB3.0では、情報を集めてそれを正しく理解し、記憶して発信する。この4つの要素が核になる」(安田氏)のです。
もちろん、発信した情報を正しいものとして受け取ってもらわなくては意味がありません。匿名掲示板で発信された情報は、信用されないこともあります。正しい情報や噂など意識してネットワークを使い分ける必要があり、これはセキュリティにも通じる問題です。
自分が発信した情報であることを保証してくれるネットワークをいかに実現するか、ネットワーク社会の課題です。一方で平安時代の落書のように「匿名」だからこそ、革命に繋がる重要な情報が発信されることもあります。匿名性の担保も同時に重要な技術であることを安田氏は強調しました。
さらに安田氏は、情報技術を駆使した産業革新となる「インダストリー4.0」、そのインダストリー4.0を巻き込み、社会生活まで変えようと日本が初めて世界に発信した「ソサエティ5.0」という概念でも「WEB3.0」を支えるIoT、ビッグデータ、ディープラーニング、AIといったデジタルテクノロジーの進歩が重要になることを指摘しています。
創造物が人間を超える、AIにおけるシンギュラリティとは
それでは、「Web3.0」をはじめ「インダストリー4.0」や「ソサエティ5.0」といった新たな概念の実現に向け、デジタルテクノロジーが進化を続けるとどのようなことが起きるのでしょうか。
安田氏は、AIの進化を例にあげました。AIの歴史はチェスを指すシステムから始まり、人間の専門家を代行するエキスパートシステムや、第五世代コンピュータによる小説の創作など進化を続けており、AIにより39の職業がなくなるといった研究論文を発表する研究者も現れています。
AIの能力は進化を続け、対象物を処理するのが第一段階を経て、人間の判断を補助するナビゲーションなど第二段階を迎えます。次の段階になると対象物は存在せず、人間に対して仮想現実を提供します。環境やもの、芸術が実在しなくても仮想的に人を満足させることができる段階です。
そしてその先に訪れるのが「シンギュラリティ(特異点)」の時代です。「コンピュータが人間の能力を超え、人間の仕事がなくなるというのは本当なのか、考えなくてはならない」と安田氏は指摘しました。
シンギュラリティはいつ訪れるのか。レイ・カーツワイルの著書のタイトルには、「When Humans Transcend Biology」という言葉がありますが、これは人間が作ったものが人間を超えるという意味です。創造物が人間を超えることがあるのか、これから考えるべき課題だと安田氏はまとめました。
「セキュリティ赤ちゃん国」の日本、課題は人材育成と意識改革
シンギュラリティとあわせて、デジタルテクノロジーの進化によりビジネスのスタイルも変化します。例えば、IoTを活用した「書店」を考えてみます。従来は店内に本がなければあきらめるしかありませんでしたが、店内に書籍がなければ店内の在庫を調べ、なければチェーン店を探すことも、さらには他社を探して、客の欲しい本を探すことも可能になります。
まさに顧客の要望にワンストップで応えられるのがIoTの世界であり、このような要求に応えることができない企業は淘汰されていくと同氏は見ています。いかに自社と補完的な関係にある会社や事業を見つけて、お互いの共存に向けて繋がっていくかを考えることが求められているのです。
そこで問題になるのが「セキュリティ」です。VPNやセキュリティ対策ソフトなど、ネットワークや端末についてはある程度のセキュリティを担保できます。
しかしシステムには人が関わっていることを忘れてはなりません。安田氏は、「システムをコントロールするのは人であり、特に日本はIoTセキュリティに対する意識が低い。人材不足も深刻な『セキュリティ赤ちゃん国』である」と述べ、全体的なレベルアップの必要性を訴えました。
さらに、安田氏は最近注目されているCSIRT(Computer Security Incident Response Team)についても言及しました。日本CSIRT協会に加盟している団体が200社から300社程度に過ぎないとし、「世界を相手にできる技術者も少なく、育った人材は給与の高い外国へ出てしまうという、日本にとっては頭の痛い状況」と現状の課題を挙げています。
特に日本は、2020年に東京オリンピック・パラリンピックを控えており、人材不足は、深刻な課題です。ロンドンオリンピックの時は2億2100万件のサイバー攻撃が検知されましたが、情報量もインターネット人口も接続するデバイスの数も、飛躍的に増加しています。安田氏は、「東京オリンピックでは160倍にあたる320億件のサイバー攻撃を予想しており、いかに人材不足の問題を解決するかが鍵になる」と考えを示しました。
セキュアなIoTは「企業の品格」
安田氏は、IoTがますます進展していく時代にあって、サイバーセキュリティに取り組むこと、IoTをセキュアに活用することを「企業の品格」と表現しました。
ユーザーは企業へ情報を預けても大丈夫かどうかを、セキュリティやIoTに対する取り組みから信頼度を判断します。つまりセキュリティへの姿勢や取組状況が「企業のステイタス」であり、「品格である」(安田氏)ということ。安田氏によれば、この点について企業のトップも、セキュリティが自社の信用度をアピールする上で重要な項目であることに気が付きはじめていると言います。
ただし、現状ではIoTデバイスなどハードもソフトも日本製のものがほとんどないため、セキュリティを担保しようにも「バグや脆弱性だらけの製品でも使わねばならない」(安田氏)という問題点があります。
このような現状に対し、「意識改革と啓発が重要」と強調しました。「セキュリティのパラダイムシフトとして『PDCA』から『CAPD』への転換が必要だ」(安田氏)と言います。
IoTソリューションの導入にあたって、これまでは、まずは計画(Plan)をして行動(Do)し、その結果を評価(Check)してフィードバックすることで改善(Action)する「PDCAサイクル」が基本とされてきました。
しかし、コンピュータはOSなどの環境はできあがっており、ゼロから作りだすものではなく、与えられたものです。これらを信頼できるか、という問題もあります。「まずは、検証(C:チェック)を行い、改善することからはじめないといけない。その結果をもとに計画、行動へ移す。このCAPDが、今後のセキュリティを考える上での要になる」と強調して、基調講演を締め括りました。
【編集協力:Security NEXT 企画制作部】