セキュリティの エキスパートを育成し 安心安全な情報化社会の 実現を目指す

京都大学情報学研究科修了後、民間企業のセキュリティソリューション事業部に所属。東京大学大学院情報学環特任准教授などを経て現職。独立行政法人情報処理推進機構産業サイバーセキュリティセンター(ICSCoE)専門委員も務める。

TOYO PERSON

インターネットは我々の生活に完全に浸透し、いまや暮らしに必要不可欠なインフラになっている。企業活動においても、情報技術により組織や事業を変革するDX(デジタルトランスフォーメーション)の導入が積極的に推し進められ、その重要性はますます高まりつつある。 しかし、情報技術が広く普及するに従って、新たなリスクが頭をもたげてきている。それが、サイバー攻撃の増加だ。大量のデータを送りつけることでウェブサイトを閲覧できなくするDDoS攻撃、システムの利用に制限をかけ、その解除を見返りに金銭を要求するランサムウェア(身代金ウイルス)の蔓延、さらには特定の企業にターゲットを絞り、情報を盗み出す標的型攻撃など、インターネットの普及以前には見られなかったさまざまなサイバー攻撃が発生している。 情報連携学部の満永拓邦准教授は、そうした事態への対処法を探り、安心安全な情報化社会の実現を目指している。

目指すは「水道の水」のように安心安全なネット環境

「かつては、企業の顧客データなどの重要な情報は書類で保管していました。そのため、盗もうと思えばオフィスに侵入するといった物理的な方法を取らざるを得ませんでした。しかし、現在はそれらをデジタルデータで管理するようになったため、便利な反面、セキュリティの穴を突けば世界中どこからでもデータを盗めるようになってしまっています。しかも、情報技術の発展に伴いインターネット上の様々なサービスに膨大なデータが集約され、攻撃者のターゲットとなりうる情報も激増しています。インターネットを通してグローバルにつながるのはいいことですが、それを悪用したサイバー攻撃が増加しているのも事実です」
本来であれば、サイバー攻撃に対して抑止力の働く仕組みを作るのが理想だ。しかし、技術的に対策をしても、攻撃者はそれを超える手法を開発するため、いわゆる「いたちごっこ」となる。法律で罰しようにも、国外からの攻撃に司法制度が追いついていない部分もある。難しい状況ではあるが、満永准教授はサイバー攻撃に対して屈することはない。
「『経営の神様』とも言われた実業家の松下幸之助氏は、かつて『水道理論』を提唱しました。蛇口をひねれば誰もが美味しい水を飲めるように、便利なものを多くの人が享受できるような世の中になればいいという考え方です。衛生的な水を安定して供給するためには、見えないところで尽力している多くの専門家や作業員がいます。それと同様に、情報技術に関わる専門家や技術者がセキュリティ対策をしっかり行うことで、利用者が悩んだり困ったりすることなく、安心安全に使えるインターネット環境を構築すること。それが現在の私の理想です」

目指すは「水道の水」のように安心安全なネット環境

セキュリティのエキスパートが求められる時代

満永准教授が近年力を入れている分野の一つが、リスクコミュニケーションだ。2015年には、日本年金機構に不正アクセスがあり、125万人分の個人情報が漏洩するという事件があった。それと同時期に、国内で他に15組織がサイバー攻撃被害を受けており、そのうち14組織が“外部からの指摘”で攻撃に気づいたという。また、アメリカのセキュリティ企業の調査でも、攻撃が発覚するきっかけの94%が“外部からの指摘”だったという結果が出ている。また組織が運営しているWebサイトも外部から脆弱性(セキュリティホール)の指摘を受けることがある。
「セキュリティの問題は必ずしも組織の内部で発見する訳ではなく、外部の専門家や技術者から連絡を受けて問題に気付く場合もあります。しかし、面識がない人から突然連絡を受けてリスクを説明されたとしても、すぐには信頼しづらく、また説明された内容を十分に理解できない場合もあり、結果的に行動に移さないという問題点があります。こうしたリスクを伝える際に発生するコミュニケーションの問題は自然災害の分野でも見られます。例えば、『この地域は地盤が弱く、長雨が降ったら危険だ』と面識のない地質学の専門家からいきなり伝えられても、言うことを信じる人ばかりではなく、ましてや経済的な費用も掛かるため、実際に地域を離れる人はさらに少ないでしょう。このような事態を解決するための考え方に、『リスクコミュニケーション』というものがあります。リスクについて理解を深め、相互の信頼醸成を図りながら解決策を検討し、対処行動を起こすフローを用意しておくこと。それが、サイバー攻撃のリスクを軽減することにつながるのです。組織でセキュリティ対策を進めるにあたっては、技術的な側面だけではなく、人とどのように協力していくかという対人的な側面も重要になってきます。」
2018年、経済産業省は「DXレポート」と呼ばれる資料で「2025年の崖」という言葉を使用した。これは、2025年までにDXに対応できなかった企業は、業務効率が向上せず、その後の社会において競争力が大きく低下してしまうことを意味している。そのため、各社がDXを進めているが、その分セキュリティの問題も大きく影響してくることになる。
「以前よりも情報漏洩に対する社会の目が厳しくなってきたことから、サイバー攻撃が企業に与えるダメージが大きくなっています。各社が情報システム部門といった専門部署を置いて対応していますが、それも限界を迎えている。いまやサイバー攻撃は全社的に対処すべきリスクとなっているのです。そこで必要になってくるのが、セキュリティのエキスパートなのです」

セキュリティのエキスパートが求められる時代

「創」・「繋」・「続」が人とコミュニティを育てる

「先に述べたリスクコミュニケーションの問題にも関連しますが、社会がどれだけ発展しても、大事なのはやはり人です。当たり前のことですがシステムを作るのも人で、システムを使うのも人です。先ほどの話にもあった通り、セキュリティの重要性を説いても、相手が受け止めなかったり、理解できなかったりすると対策に繋がりません。他方で、セキュリティの専門家として技術的に、あるいは倫理的に譲ってはいけないラインもあります。セキュリティの専門家を目指す学生さんには、技術に加えて、社会や組織へのアプローチの仕方や、専門家としての倫理も学んで欲しいと思っています。」
そう語る満永准教授は、情報連携学部で学ぶ学生たちに大きな期待を寄せている。
「同一品質・大量生産をベースとする製造業中心の時代から、利用者の多様なニーズに対して情報技術を活用したサービスや製品の提供をスピーディに実行できるかが問われる時代になりました。以前は均質な製品を作るために画一的な人材が多く求められていましたが、最近は独自のアイデアと技術で社会を変えていけるような突出したスキルを持つ人材が重宝されるようになってきました。特に、生まれた時からインターネットに親しむ『デジタルネイティブ』と呼ばれる若者世代は、情報技術への適応力が高い分、大きな可能性を秘めていると思います」
満永准教授が理想とするのは、「創」・「繋」・「続」を循環させることで、人とコミュニティを育成していく社会だ。
「世の中にはさまざまなアイデアを持った人がたくさんいます。ある素晴らしいアイデアを思いついても同じアイデアを持っている人は100人いると言われています。ですので、アイデアを持っているだけではなく、それを形にした人だけが成功します。学生の皆さんには、アイデアを実現するための“創”る技術と知識を養って欲しいと思っています。また、現在はアプリ同士を連携させて新たな付加価値を持つサービスを提供する『APIエコノミー』が注目されています。そうした技術を活用して、“繋”げることも今後は重要になります。またシステムだけではなく、人と人が“繋”がるということも大事です。そして、セキュリティ対策をしっかり行い、安心安全なサービスを安定的に継“続”させる。そうした流れを構築することが、より良い情報化社会につながっていくと考えています。情報連携学部が、そうした新しい時代のサービスを“創”り、システムや人と“繋”がり、発展し“続”けていくことができる場所となるように私も頑張っていきたいと思います。」

「創」・「繋」・「続」が人とコミュニティを育てる取材日(2021年2月)
所属・身分等は取材時点の情報です。