[対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

「Ooops, your important files are encrypted.（おっと、あなたの大事なファイルは暗号化されました）」

5 月のある日こんなメッセージが、世界 150 カ国、20 万台を超える業務用 PC のモニタに表示された。PC のファイルを暗号化して、復号と引き替えに金銭を要求する「ランサムウェア」と呼ばれるマルウェアの一種「 WannaCry（ワナクライ）」の仕業である。公式に報告されただけでも 20 社を超える日本企業も被害を受けた。

企業のリスクマネジメントの専門家である ACEコンサルティング株式会社白井邦芳氏と、SCSK株式会社の西廣恭太氏の二人は、この被害を、企業を取り巻くリスクとその対策が迎えている大きな転換点と捉えている。

サイバーリスクがどう変わりつつあるのか、そして今後どのような新しい視点で対策を行う必要があるのか両氏に話を聞いた。（聞き手：ScanNetSecurity 発行人高橋）

●2004年のターニングポイント

―― 白井先生はインターネットの黎明期から現在まで、2,000 件を超える上場企業のリスクマネジメントに携わってこられました。企業にとってサイバーリスク管理には、これまでいくつかのターニングポイントがあったように思います。いろいろな見方がありますが、まず最初のターニングポイントはやはり、ブロードバンド接続サービスを提供する ISP をはじめとして、大手通信販売や、石油大手、信販大手などの情報流出が集中した 2004 年が挙げられますね。

白井氏：おっしゃるとおりです。うち一社の事例では、情報がいわゆる反社会的勢力にわたって詐欺被害が発生しました。これは企業が過去に経験していなかったことで、いわゆる情報の所有者であるそれぞれの個人に、情報を取り扱う企業が謝罪するというのがそれまでの常識でした。そこにこれまでなかった規模とスピードで二次被害が生じて、弁護士対応や損害賠償の対応がさらに必要となることで、情報流出がこれまでのリスク管理の方法がまったく通用しない、きわめて難しい危機管理事案だということがこれら一連の事件で明らかになったのです。

西廣氏：これまでの紙媒体での情報の保存と違って、数十件・数百件といった単位ではなく、一度不正アクセスが発生すると、従来と違ったスピードで、情報が大量に持ち去られてしまう点も経験のなかったことですね。

●マルウェア感染の優先度が上がる

――通信教育大手企業の情報流出事案など、ここ数年でさらにサイバーリスクへの考え方も変わりましたね。

白井：昔は単純に、個人情報・顧客情報の流出と捉えていましたが、最近は株主情報や人事情報、機密情報としての営業データ、さらに知的財産も加わって、情報流出がいかに会社の資産を損失させるかということが明確になってきた事案が増えてきたと思います。

――そんななかで発生した WannaCry の一連の被害は、企業や組織にどんなインパクトをもたらしたでしょうか。

白井：ここ 2 ～ 3 年で、企業の「情報漏えい」は、地震発生などの際の「事業継続計画（BCP）」と肩を並べる、企業にとっての重要なリスクとして認識されるようになりました。しかしその一方で、今回の WannaCry のような「マルウェア感染」はそこに含まれておらず、会社の優先順位としては非常に下の方に置かれていました。今回の被害では、経産省だけではなく、総務省や金融庁からも、危機管理の視点から、もっとマルウェア感染のような事象に慎重に対応するよう要請が出ています。私が知る範囲でも、少なくとも 20 数社の上場企業がリスクの優先順位の見直しをかけており、経営者目線からも今回の件は、重たい事象と認識されたことは間違いありません。

西廣： WannaCry の被害の拡大は大きな出来事だったと思います。私が特に注目したのは、国内外の大手企業でアンチウイルスを導入していない会社はおそらくほとんどないにもかかわらず、あれだけ広範に被害が発生したことです。これは既存のセキュリティ対策のソフトウェアでは検知できない未知の脅威が存在しているという事実が、多数のユーザの面前につきつけられた事態だったと考えています。

●人工知能の活用

――定義ファイルを使った既存の検知方法には限界があり、それを超えるために、振る舞い検知などいくつかの新しい技術が生まれましたが、昨年頃から、人工知能を活用したマルウェア検知が注目されていますね。

西廣氏：もともと人工知能は、攻撃の件数が増えて、解析や対策に人手が追いつかないことから使われるようになりました。しかし、実は多くの人工知能製品は、AI を補助的な役割で使用しています。

一方で数は少ないですが AI だけでウイルスを検出する CylancePROTECT のような製品もあり、SCSK でも取り扱いをはじめています。AI 製品の一番の特長は、パターンファイルにたよらないので未知のマルウェアを検知できるところです。実際に CylancePROTECT は、2016 年春の段階で WannaCry を検知できていました。

―― AI がマルウェア検知を行う仕組みを教えて下さい。

マルウェアの挙動や、関数やファイルの書き方、ソースコードなど、計 700 万種類の特徴点をバイナリレベルで解析・学習し、検知エンジンを作りあげています。ポイントは数億件もの悪意のあるファイルと正常なファイルを教師データとしているところです。

●人工知能のふたつの課題

――人工知能にはいろいろな製品があって、期待は高いものの、国内での導入事例はまだ多いとは言えず、有用性にもまだ疑問符があると思います。そんな中で SCSK が CylancePROTECT を扱うことを決めた理由は何ですか。

西廣氏：おっしゃるとおり既存の人工知能製品にはふたつ大きい課題がありました。「誤検知」と「動作の遅さ」です。

従来のパターンマッチングでは、イエスかノーか 100 ％の精度で判断できますが、AI による未知の脅威に誤検知はつきものでした。複数の製品の検証を行いましたが、 CylancePROTECT は誤検知の少なさが突出していました。

また、検知エンジンの更新は半年に 1 回程度の頻度で行うだけでよく、ファイルのスキャンを分散して実施するなど動作が軽快である長所も併せ持っていました。

US ではすでに6,000社以上導入されている製品です。既存のアンチウイルスを CylancePROTECT に完全に入れ替える場合と、既存製品んと併存させる場合があり、後者の場合は、ほとんどすべてのメジャーなアンチウイルスと共存させることもできます。

―― CylancePROTECT に限らず、SCSK は75 を超えるセキュリティ製品を扱っています。これはITサービス企業のなかでも多い数字だと思います。

西廣氏：どんなお客様のご要望にもお応えできる選択肢を持ちたいと考えています。たとえば CylancePROTECTも、複数のバリエーションをもって対応をさせていただいております(図１参照)。

●これまでの技術を更新する製品の活用

――サイバー攻撃は日々深刻化していますが、それを防ぐ新しい技術も次々と生まれています。最後に、こういった新しいテクノロジーの活用についてお二人の見解をお聞かせください。

白井氏：いま、企業の安全管理措置の考え方が大きく変わりつつあるのは間違いないと思います。安全管理措置には「組織的」「人的」「技術的」「物理的」の 4 つの大きな種類があり、これまで多くの企業が人にフォーカスした対策をしてきました。

私が所属している社会情報大学院大学では、組織を監督する CIO（Chief Information Officer）や DSO（Data Security Officer）などの高度な人材を育てていますが、攻撃者の技術が高まってきたことで、それが追いつかなくなってきている現状です。技術的安全管理措置をひいてITの技術を取り入れて効率的に攻撃を排除することをやらざるをえなくなってきている。これまでの技術を更新するようなサービスや商品を積極的に活用していくべきだと思います。

西廣氏：いろんな分野で AI と言われいますが、決して人間が努力を怠るような目的ではありません。反対に人の判断では追いつかないようなことを IT の力を使って行うということで、その分野での象徴的な製品を SCSK は選択して展開しています。未知の脅威は増えつづけており、技術の必要性は今後増していきます。AI によるウイルス対策の有用性は今後も高まっていきます。まずは試していただきたいと思います。