2 月 25 日、株式会社NTTデータ先端技術が主催したカンファレンス「AIを活用したサプライチェーンセキュリティの最前線 ~脆弱性対策の自動化が防御力を高める秘訣~」が都内で行われた(共催:株式会社エーアイセキュリティラボ)。
基調講演枠には株式会社NTTデータ セキュリティ&ネットワーク事業部 サイバーセキュリティ統括部長の沖藤圭祐氏が登壇し、自身も普及に携わった経済産業省の「DXレポート」に記載された「2025年の崖」などに言及しながら、2024 年の大手出版社へのサイバー攻撃の例なども挙げ「自社本社だけでセキュリティ対応をしていればよかった時代は終わり、グループやエコシステム全体での対策が必要である」と呼びかけた。
●「2025年の崖」のインパクトを最小限にするために
ここで簡潔に説明しておくと「2025年の崖」とは、レガシー IT システムの老朽化や、新技術採用の遅れ、技術者やデジタル人材の不足、既存システムの複雑化やサイロ化等によって発生する「価値創造に寄与しない保守作業や運用工数増大」などによって、2025 年以降、最大 12 兆円規模/年の富の損失が日本で発生するという 「DXレポート」に記された未来予測(刊行当時)である。
沖藤氏は、NTTデータにて非機能領域を中心にシステム開発を経験した後、経済産業省出向中に「DXレポート 2.1 / 2.2」の編纂をリードし、NTTデータ復帰後はサイバーセキュリティ領域の業務に携わっているという。
「崖」を予見するレポートに携わった張本人が、崖を滑り落ちる衝撃を最小限に食い止めるため、セキュリティ領域で全力を尽くしている。本誌が掘り下げて取材して書いてみたいような、グッとくるエピソードである。
沖藤氏は DX が進むことで当然アタックサーフェス(被攻撃面)も拡大するので、DX はセキュリティと両輪で進めるべきであり「DX withサイバーセキュリティ」という概念を示した。
また、崖を越えるためには生産性向上が不可欠であり、そのためには、(1)定型業務の効率化・自動化、に留まらず、生成AI を活用して(2)高度なセキュリティ人材しかできなかった業務を普通の技術者でもできるようにすること、等が重要であると同氏は語った。
そして後者の事例として、NTTデータの提供するインフラの監視・運用を効率化するクラウドサービス「Mana PlaS」に SOC 機能を追加し、インフラ担当技術者でも SOC 監視員として業務遂行できる仕組みを構築したことを紹介。さらにこれまで高度な職人的技能とみなされていた脆弱性診断を一般の IT 人材でも実施可能にするサービスを、NTTデータ先端技術がエーアイセキュリティラボの「AeyeScan(エーアイスキャン)」を活用して提供していることにも言及した。
沖藤氏は講演の中で、とりわけ対策が困難なサプライチェーンのセキュリティリスクに対応するためには「自社だけ」「本社だけ」ではないのはもちろんのこと、「グループやエコシステム全体の対策」が必要であり、また「IT 部門だけが責を負う仕事でもない」と語った。
● 生成 AI は業務にどこまで活用できるかを検証
次に登壇した NTTデータ先端技術 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 セキュリティコンサルティング担当 担当部長 戸田勝之氏の「2025年 情報セキュリティ十大トレンドに見るセキュリティチェック観点とは」と題した講演のハイライトは、沖藤氏が警鐘を鳴らしたサプライチェーンのリスクへの対策として、チェックリストやセキュリティルールの作成を、セキュリティコンサルティング部門のリーダーを務める戸田氏自身が生成 AI を使って行った結果を報告するという興味深い内容だった。
生成 AI には「INTELLILINK GPT(NTTデータ先端技術社内で訓練された ChatGPT サービス)」が用いられた。
チェックリストやルール作成は、サプライチェーン上にある業務委託先のセキュリティチェックを想定して行われ、
(1)チェック方針の決定
(2)セキュリティチェック項目の決定とリスト化
(3)判断基準の作成
(4)委託先へのチェックリストへの記入依頼メールの作成
(5)委託先ヒアリング結果のまとめ
と、5 段階のプロセスを踏んだ。それぞれ「入力したプロンプト」と、それに対応する「INTELLILINK GPT の出力結果」双方がスライドで投映され、臨場感のあるプレゼンテーションとなった。
それらの結果をもとに戸田氏は、業務に生成 AI を活用した結果、いきなり 0 点から 50 点程度の完成度に到達はできるものの、それをそのまま実務に落とし込むには品質や正確性に難があるという。生成 AI を操作する側にプロンプトスキルが求められるとともに内容の検証が必須であり、なおかつ特定の専門領域に関して品質が低いのは、生成 AI の汎用性が持つ限界であると指摘し、実業務に耐えうる品質確保にはセキュリティ専門家の活用が望ましい、と講演を結んだ。
● 生成 AI のセキュリティ診断サービス
3 人目の登壇者、NTTデータ先端技術 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 セキュリティコンサルティング担当 今川大輔氏の講演「NTTデータ先端技術が新たに取り組むAIに対する診断とは」は、おそらく本誌 ScanNetSecurity 読者の大好物に違いない。
なぜなら「○○の作り方は?」「△△のやり方は?」などの、合法とはいえないプロンプトに対して、どのように生成 AI をなだめすかして回答させるかというプロセスを、手取り足取り、プロンプト例などをスライドで示しながら詳細に解説するというワクワクが止まらない素敵な内容だったからだ。しかし本誌読者にとってワクワクな内容を、記事として配信することには大いなる躊躇が伴う。ということで書きたくても書けないことをご容赦いただきたい。
そこで、そのかわりといってはなんだが、「AI」と「生成 AI」と「LLM」の関連について非常にわかりやすく今川氏が整理した図が示されていたので引用しておくことにしよう。
今川氏は、脱獄の実演的発表以外にも、韓国で発生したソースコード漏えいや、聞いていてつらくなる AI によるユーザーへの「人格否定発言」、モデルの不正コピー疑惑など、AI に関わるユーザーおよびサービス提供者の両当事者に起こった実例を解説し、カンファレンスが開催された同日 2 月 25 日に NTTデータ先端技術が発表した生成 AI のセキュリティ診断のサービス概要の紹介を行った。
同サービスは、「ツール診断」「診断員による診断」「ヒアリングによるレビュー」を行い、生成 AI の利活用やサービスの安全性、適法性の診断を行うもので、OS やミドルウェアは対象外で、テキスト生成の LLM のみに対応する。生成 LLM ひとつにつき約 12 日間の所要日数で S・A・P・C・D、5 段階のランク付けを行った報告書が提出される。
● 内製化が変えた組織のセキュリティ文化
経産省から NTTデータに戻ってサイバーセキュリティ領域で尽力する沖藤氏と対照的に、入社した NTTデータを飛び出し、企業のセキュリティ診断の現場で活躍しているのが 4 人目の登壇者、株式会社エーアイセキュリティラボ 事業企画部ディレクターの阿部一真氏である。
さまざまな Web アプリケーションやデジタルサービスを開発する個々の企業は、サプライチェーンのサイバーリスク対策にあたって、最小の単位ともいえるかもしれない。
新卒で NTTデータに入った若者が、設立から 10 年にも満たないベンチャーに転じるというのは志やハートがなければできない決断だと思う。もし阿部氏に祖父母がいたら、社名に NTT とある会社に在籍し続けることを願う可能性は高いと思う。
エーアイセキュリティラボが提供する「AeyeScan」の強みのひとつは、診断員の心が折れやすい「同一作業の繰り返し」等を生成 AI 等を活用して自動化することで、クリエイティブな作業に診断員を専念させる点にある。
それだけでも「AeyeScan」 は十分に新規性と独自性のあるプロダクトだが、同社は 「AeyeScan」を、診断作業の素人に近い、ユーザー企業の情報システム部門や、あるいは事業部門の担当者による診断内製化を支援して成果を上げている。
阿部氏は、沖藤氏の講演の一部を引用するかのように、DX の進展によって公開される Web サービスが増えており、同時に開発規模も大きくなり、新機能追加の頻度は毎週あるいはほぼ毎日となるなど、デジタルの利活用における攻撃領域が増大している、と述べ、診断の内製化が有効な選択肢の一つであると述べた。
しかし、内製化を進めようとする場合、
(1)外注していたときと同様の品質が維持できるのか
(2)費用と時間や工数などのコストを抑えられるのか
(3)本当に社内メンバーだけで対応できるのか
という三つの課題に多くの組織が直面するという。そして、もしこの課題がすべてクリアできたとしても、「開発部門や事業部門が協力してくれるのか」という重い問題が残る。
そもそも開発・事業部門には、(1)セキュリティになど稼働を割きたくない、(2)ましてやコストを持ちたくなどない、(3)セキュリティ意識がそもそも発展途上、という問題があるからだ。
こうした課題を乗りこえ、事業部門を診断内製化のプロセスに巻き込むことに成功した例として「早期に発見すると手戻りが減ってサービスイン直前の残業時間が減ること」や「業務に詳しい人が診断に参加することで診断精度と網羅性が上がること」等々、事業部門が参加する動機となるメリットをいかに訴求するかという方法論を提案した。
そして、そのための診断ツール選定にあたって必要となる条件として、
・誰もが使えて
・利用範囲に制限がなく(都度都度の課金が発生しない)
・具体的な修正手順までわかる報告書のアウトプット
が、重要であるとして、「AeyeScan」 がこの条件を満たすツールのひとつであると語った。
診断内製化に成功している事例として阿部氏は、同製品の公式サービスサイトに多数掲載されている事例の中から、大手生命保険株式会社を挙げた。
同社は個人情報を扱う Web アプリをアジャイル体制で開発しており、約 2 週間おきのリリースをくり返しており、毎回診断会社に依頼することは全く現実的ではなかった。
そこで、開発チームで運用できる診断ツールを探して 11 製品の評価と机上での検証を行い、最終的に「AeyeScan」を含む 3 製品に絞り込んで PoC を実施した。その際は、開発チームとコミュニケーションをとり、運用の実現性を綿密に検証したということだ。
同社は、診断内製化に開発チームが関わるようになったことで予想外の収穫があったと、阿部氏がとりわけ嬉しそうに話していたから、最後に記しておく。
それは、開発チームが診断を行うようになったことで「シフトレフト(対策や診断を開発初期段階に前倒しすること)」が概念ではなく経験として理解されたことによって「どうやったら脆弱性が出ないシステム開発ができるのか」を考える企業文化が生まれたことだという。セキュリティが組織を変えた美しい事例だ。
