今回は、対応が急務となっているセキュリティ分野において、産官学連携で研究・人材育成に取り組んでいる日立の佐藤 隆行さんをご紹介します。佐藤さんは、日立のセキュリティコンサルタントとしてお客さまのセキュリティ支援を行う傍ら、国立研究開発法人情報通信研究機構(NICT)内の組織であるサイバーセキュリティネクサスにおいて、さまざまな業種・団体の人々と連携してセキュリティ分野の研究・人材育成にも携わっています。
さらに今回は、国立研究開発法人情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティネクサス CYNEX研究開発運用室 室長として日本のサイバーセキュリティに関する産学官の結節点の全体マネジメントに従事する安田 真悟さんに同席いただき、情報通信研究機構およびサイバーセキュリティの活動に関してご紹介いただきます。
サイバーセキュリティの重要性が増している
近年、世界的にサイバーセキュリティの重要性が増していると耳にします。
日立 佐藤
2024年に起きた事例だけでも、航空会社のシステムがサイバー攻撃により飛行機の運行に支障をきたすなど利用者への直接的な影響が出た事例や、社内データが暗号化されてしまい業務が大規模にストップしてしまった、暗号資産が不正に窃取されてしまったなど、事業に大きな影響を及ぼす深刻な攻撃が複数発生しています。
全世界がネットワークで繋がって情報がやり取りできる利便性と比例して、サイバーセキュリティのリスクは年々高まっています。
そういった昨今の状況を踏まえ、セキュリティ対策はお客さまの中でも非常に重要かつ喫緊の課題となってきていると感じます。
私の普段の仕事内容は、日立のセキュリティコンサルタントとして、お客さまの事業におけるさまざまなセキュリティリスクを、許容可能なレベルまで具体化した対策に落とし込むことです。具体的には、お客さまによってセキュリティリスクはさまざまですが、グループ企業も含めたサプライチェーン全体のセキュリティをどう検討するかといったガバナンス系のものから、従業員のセキュリティ意識を向上させるための教育・トレーニングも対応しますし、システムの脆弱性診断や、マルウェアに感染してしまった際の調査と駆除など、幅広く対応しています。
写真
左:日立製作所 マネージド&プラットフォームサービス事業部 セキュリティサービス本部 セキュリティプロフェッショナルセンタ チーフセキュリティスペシャリスト 佐藤 隆行
右:国立研究開発法人情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティネクサス CYNEX研究開発運用室 室長 安田 真悟氏
NICT 安田氏
急増する脅威に対抗するため、技術向上や人財育成が急務になっていますが、現状、“国産の”セキュリティ技術が足りておらず、“セキュリティ自給率”(私達が使っているセキュリティ技術・製品のうち国内で作られたものの割合)が低い状態です。海外のセキュリティ製品を導入して使っている企業がとても多いため、「どんな脅威を、なぜ、どのように検知するか」の情報が、製品元の海外ベンダーに蓄積されてしまい、国内に蓄積されないのです。国内に技術や情報が貯まっていないため、政府が進める「能動的サイバー防御」に関しても、能動的に動くために必要なだけの知見が不足している状態です。
私の所属する国立研究開発法人情報通信研究機構(以下、NICT)では、セキュリティに関する情報を、幅広くかつ中長期にわたって収集、分析、研究しており、そういった脅威へ対応する研究開発を進めています。
また、NICTが蓄積してきた多くの情報や研究成果を、産官学に幅広く共有し、国内のセキュリティ技術力向上に寄与するために、NICT内に2021年に新組織「Cybersecurity Nexus(CYNEX:サイネックス) 」 (*1)を発足しました。
日立 佐藤
私は、この「CYNEX」内のサブプロジェクト「Co-Nexus A」にてチェアとして産官学の垣根を超えた有識者コミュニティを運営しています。ここでは、企業、大学、官公庁が並んで参加し、最新のサイバー攻撃事例の共有や、それに対する解析や分析に関する検討を行っています。さらに、「CYNEX」が持つ研究用の環境で再現し、悪意のあるソフトウエアの挙動や痕跡の確認方法、また防御策を研究し、共有し合うということもしています。
CYNEX プロジェクト構成 出典:国立研究開発法人情報通信研究機構
*1
・CYNEX(Cybersecurity Nexus:サイネックス) のWebサイト https://cynex.nict.go.jp/
・ニュースリリース(2023年10月2日)「日本のサイバーセキュリティの結節点“CYNEXアライアンス”を発足」 https://www.nict.go.jp/press/2023/10/02-1.html
日本全体でセキュリティ意識を高めていくことが必要な時期
佐藤さんが「Co-Nexus A」でチェアとして活動する中で、意識していることはありますか?
日立 佐藤
NICTの活動は、日本全体の利益のためにあります。そのためには、高い視点で青写真を描き、官民問わず協力者を募り、協力して事業を進めていくことが必要になります。一企業の立場ではなく、公の立場で、人々が安心して暮らせるIT環境の整備などをはじめ、どんな施策が国や国民の利益になるか?ということを常に考えています。
例えば、日立がNICTから受託して実施した事業(*2)の一つ、「サイバー攻撃に関する解析作業」では、日立が得意とするマルウェア解析を行っていますが、この時得られた知見をNICTと日立の中だけに留めるのではなく、NICTを通じて「Co-Nexus A」コミュニティ内に還元しています。また、攻撃を受けたデータを分析する際も、日立、A社、B大学などそれぞれの集団が得意とするセキュリティ分野で各々深く分析し、その成果を共有し合うということも行っています。これを続けることにより、対策情報の早期共有や、研究の推進が期待できます。
各社が自社内だけに情報を抱え持つのではなく、情報開示し合い、日本全体でセキュリティ意識を高めていくことが必要な時期です。産官学みんなが協力して、サイバー攻撃に対策する雰囲気を醸成していくことが重要と考えています。
こういった「Co-Nexus A」の活動から得られた情報も取り入れ、昨今のセキュリティを取り巻く環境を俯瞰し、NICTとしての急務で取り組むべきことは何か、今後注力していく分野は?といった、めざす方向性の検討にNICT協力研究員の立場としても参画しています。
*2 事業の一例
- サイバー攻撃に関する解析作業:NICTと連携して、主に標的型攻撃に関する定常的な情報収集及び収集した情報の分析作業を行うプロジェクト。日立グループ内の有識者を結集してマルウェア解析に取り組んでいる。
- サイバーセキュリティ人材育成オープンプラットフォームの重点的拡充作業:NICTが持つセキュリティ人材育成のコンテンツ拡充を目的として、重要インフラ事業者向けの演習を開発するプロジェクト。日立はこのうちKパート(警察等の犯罪捜査組織向け)を担当。
- 先進的サイバー防御演習運営支援作業:NICTが展開するセキュリティ人材育成事業であるCYDERにて、その講師・チューターを担当し、全国各地の受講者へ演習をデリバリーするプロジェクト。日立グループ内の有識者を結集して取り組んでいる。
など
佐藤さんがNICTに関わる活動の中で驚いたことはありますか?
日立 佐藤
NICTの中に、ノウハウ、データ、観測基盤など、非常に多くの貴重な情報が蓄積されていることです。
NICT 安田氏
セキュリティの分野において非常に重要なことは、「実データを持っていること」です。しかし、セキュリティに関するデータを、幅広く、長期にわたって集め、解析を続けることは、非常に手間とお金がかかります。企業や大学が単体で行うことは大きな負担となり、覚悟が必要です。しかし、その負担を避けた結果、自社内にセキュリティに関する知見が蓄積されていかないため、研究開発が進まず、セキュリティ製品は外国製を買って使うことが多くなり、その結果さらに国内の技術の蓄積ができなくなっていってしまう……というサイクルに陥っていました。
NICTは、過去10年以上にわたり、多くのデータを蓄積してきています。
一例として、「ダークネット」と呼ばれる現在使われていないアドレスへのサイバー攻撃を、10年以上という長期にわたって記録してきています。この10年超のデータを分析することで、どの時期に、どんなマルウェアが流行っていたのかの傾向が分析できます。
IT以外で例えるとするなら、マンションのとある空き部屋に投稿されるチラシを10年分溜めておいたら、その時々の流行りが垣間見える、というようなイメージをしてもらうと近いかもしれません。
こういった長期的なデータを蓄積できることは、短期サイクルで利益を生み出すことを求められる民間企業ではなく公益を追求する国の機関であるNICTならではの取り組みです。国益につながる膨大なデータの蓄積とそれを元にした深い研究ができることが、NICTの強みです。
日本の中長期的なサイバーセキュリティに貢献していく
佐藤さんの、日立のセキュリティコンサルタントとして、または「Co-Nexus A」チェアとしての、さまざまな活動を伺ってきました。どのような思いでこれらの活動に関わっているのでしょうか?
日立 佐藤
昨今ではサイバー攻撃が毎日のように行われ、企業や団体は日々対応に追われています。
これは、日本社会全体が、サイバー攻撃に対して有効な対応策をまだ確立できていないことが理由の一つと考えています。サイバーセキュリティが適切に機能するには、自助、共助、公助がそれぞれ必要です。日立の立場と、NICTの立場の両面から、日本の中長期的なサイバーセキュリティに貢献していきたいと考えています。
そして単純に、これらの活動にとても楽しく取り組んでいます。セキュリティは日々新しい攻撃や対応策が生み出される分野です。新しいことにチャレンジして、個人、組織、国の研究機関という複数のレイヤーで課題解決に取り組むことは非常にワクワクします。
セキュリティ分野のあるべき像とはどのようなものだと思いますか?
日立 佐藤
サービスの利用者が、セキュリティのことを意識しなくても、常にセキュリティが確保されている状態になっていることだと考えています。
具体的には、「セキュリティのために、〇〇をやってはいけない」のようにユーザーに負担を強いるセキュリティ対策ではなく、あらかじめそれらの対策が取り込まれた状態でサービスが設計されていることが望ましいです。
また、サービス提供者側においても、問題が起きてからセキュリティ対策を検討するのではなく、サービスの企画時点からセキュリティを意識して開発する「セキュア・バイ・デザイン」の考え方を取り込んで、あらかじめ脆弱性が発生する可能性を低くしていくことが必要です。
今はまだそのレベルまでになっているサービスは少なく、そのために高価なセキュリティ製品を後付けで導入しなければならなかったりなど、もどかしく思っています。
NICT 安田氏
私は、全てのインターネット環境が基本的には信じられる状態になっている、という世界が実現できるのが理想だと思っています。具体的には、セキュリティ分野は現状「こんな怖いことがあるから製品を買いましょう」とリスクを強調して対策を迫っている状態ですが、身の回りがさまざまなリスクに囲まれているという環境自体を改善すると同時に、被害を抑制する仕組みが暮らしに溶け込んでいる状況にしていきたいですね。
同じ理想をめざす仲間をつくっていく
『社外の活動で得られた経験が日立の事業に還元できる』と感じていることは何かありますか?
日立 佐藤
視座を一段二段高く持ち、中長期的に多くの人々の利益になるには何をすべきか?を考え続けること、その実現のために多くのステークホルダーを巻き込んでいく推進力です。
一緒に仕事をして少しずつ信頼関係を構築すること、「どうしていくべきか?」という未来像を膝を突き合わせて話し合い、同じ場所をめざす仲間をつくっていく経験は日立の事業を推進する上でも生きていると思います。
今後もセキュリティ人材の育成を積極的に推進するととともに、IT×OTのノウハウを生かし、専門知識や高い技術力を活用した各種セキュリティサービスを通じて、お客さまの安全・安心な経営環境の確保および企業価値向上にも貢献していきたいです。
日立は"Digitalfor all."を掲げ、デジタルの力で人々の快適で豊かな暮らしと、持続可能な地球環境を両立させることをめざしています。佐藤さんは、デジタルの力でどんな未来をめざしていますか?
日立 佐藤
まず、日立のセキュリティコンサルタントの立場としては、日立は社会インフラを提供する企業であり、社会インフラにとってサイバーセキュリティは非常に重要です。お客さまシステムはもちろんですが、日立自社内もしっかりセキュリティが保たれている状態を維持することで、日立が社会に提供する価値をしっかりと下支えしていきたいです。
「Co-Nexus A」チェアの立場では、現在収集している多くのデータを研究開発にできるだけ早く役立てていきたいです。NICTにはデータと知見があり、人財がいます。これらをすべて組み合わせ、協力して日本のサイバーセキュリティの向上に寄与していきたいです。
関連Webサイト
ソリューション&サービス セキュリティプロフェッショナルサービス:セキュリティ:日立
www.hitachi.co.jp
セキュリティ領域プロフェッショナル人財:セキュリティ:日立
www.hitachi.co.jp
セキュリティ:日立
www.hitachi.co.jp
