サイバーセキュリティから見た近未来『Businnovare‐PwC Technology Day 2017』

2017-08-08

 

2017年6月19日、PwC Japanは「企業が今、取り組むべき課題」を洗い出し、企業の進歩を促すための方向性を導き出すためのカンファレンス『PwC Technology Day 2017』“テクノロジーの進化がもたらす未来のビジネスイノベーションを考える!”を開催し、100名を超える参加者の熱意であふれかえりました。

カンファレンスは、PwCが開発した「集合型未来共創技法“Catalyst Method(カタリストメソッド)”」というディスカッション手法を用いて課題解決に向けて導いて行きます。まず、初めに全員に総合テーマをオリエンテーションし、そのテーマに対して、3つの専門分野「スタートアップビジネス」、「デジタルエクスペリエンス」、「サイバーセキュリティ」に分かれて討論します。そして、最後に各専門分野で導き出した答えを持ち寄り、総括する流れで行われました。

ここでは3つの専門分野のグループより「サイバーセキュリティ」について取り上げます。サイバーセキュリティのグループでは、PwCサイバーサービス合同会社 星澤と村上がモデレーターを務めてパネリストがディスカッションを行い、そこから今後求められるアクションやキーワードを導き出していきました。

 

 

社会のビジネスリスクの中心となるサイバーセキュリティ

サイバーセキュリティのグループでは技術が進歩していく中で、サイバーセキュリティはどうあるべきか、また技術が普及することでサイバーセキュリティや社会はどうなるのか、議論が行われました。

登壇したエキスパートの一人であるTMI総合法律事務所 大井弁護士(以下、大井氏)から、

今は技術が先行しており、それに沿った法律の制定が遅れている状態にある

との意見がありました。

技術の進歩の速度が速いこともあり、今日の普遍的な理念や法律を柔軟に対応させていく必要があるのではないかといいます。

 

大井 哲也 氏 TMI総合法律事務所 パートナー 弁護士

松尾 正克 氏 パナソニック株式会社 コネクティッドソリューションズ社イノベーションセンター IoTサイバーセキュリティ事業推進室 室長

これを受けてパナソニック株式会社IoTサイバーセキュリティ事業推進室 松尾室長(以下、松尾氏)は、

IoTの業界では10年以上前からサイバーセキュリティに取り組んでいるが、確固たる安全性が確立される前に実装されているものが散見される

と状況を話します。

セキュリティ対策は費用対効果などが目に見えづらいこともあり、対策が後回しにされることもあります。しかし、これから企業に求められることは目に見えない部分の対策を適切に行えるかであり、

使われるテクノロジーをいかに見える化して安全を守っていくかが重要なことなのです

と松尾氏はいいます。

技術の進化に伴い、恩恵を受ける人の姿が見えなくなってきている。2030年には、シンギュラリティ(技術的特異点)とも呼ばれる人工知能が物事や世界を変革するような世界になっているかもしれない

とPwCサイバーサービス合同会社 最高技術顧問 名和(以下、名和)はいいます。そうなるとサイバー攻撃の技術が進化・加速して、攻撃者が見えなくなっているかもしれません。そのとき、繰り返される攻撃にどう対処するかが重要なポイントなのです。

これに関して大井氏は、

技術の進歩が早すぎて対応する法律が追いついておらず、もっぱら性善説で進めているようなところが多いのが実際です

といいます。人工知能の技術は進歩していますが、このままでは人間がコントロールできないものができてしまうかもしれません。そういったことも想定し、『人間に攻撃するような人工知能は作っていけない』、といった制限なども考えていく必要があるでしょう。

名和 利男 PwCサイバーサービス合同会社 最高技術顧問

 

ビジネスリスク解決に向けて導き出されたキーワード

  • テクノロジーの見える化
  • シンギュラリティ
  • 人工知能

 

 

企業に求められるサイバーセキュリティ

サイバーセキュリティの観点において松尾氏は、

実際には攻撃されていても気がついていない企業が多いのではないか

といいます。テロや国家間の紛争レベルのサイバー攻撃になると一企業では留めることはできません。企業の情報を盗み出すような万引きに近い攻撃であれば、企業側で止めていくことが求められているのです。

唐川 伸幸 PwCサイバーサービス合同会社 顧問

企業はサイバーセキュリティに対してどのように取り組むべきか、PwCサイバーサービス 顧問の唐川(以下、唐川)は、

守るべき対象を定義するには、まず企業が何をすべきかを認識することが重要であり、企業の枠を超えた国家間のサイバー戦争クラスでは国へリスクを委ねられる体制をとることが望ましい

といいます。

企業の情報システム部門はサイバーセキュリティという観点で会社(組織)を守っていますが、企業がお客様に提供する商品やサービスは誰が(どの部署が)守っているのでしょうか。

そこはまだ曖昧なままだ

と松尾氏はいいます。そこを考えてマネジメントしていくことが、これからの企業に求められる責任といえます。

人工知能(AI)を使って発生した問題について、クライアントへの説明責任はどうすべきか。そのために的確な説明や解決を行うための体制を整えていくことは、今後さまざまな組織に求められることです。

AIの発展に伴い、判断能力がAIのアルゴリズムに置き換わってくることで、人間が関与したり、人間が行う役割が狭まってくるのではないか

と大井氏はいいます。AIが発展していったとき、人間とAIの責任分界点がどこなのかが重要な観点になってくるはずです。

サイバーセキュリティに関する技術が進化すると脅威が減ってくると考えられますが、実際はどうなのでしょう。この問いに対して唐川は、

攻撃に対して防御する技術は上がってきているが、それに対して同時に攻撃する側の能力も増してきているのが現状だ

といいます。そのため攻撃されたことを検知できず、攻撃されていることが見えなくなって(気がつかなくなって)きていることも多いのです。つまりリスクコンピテーション(リスク評価)の必要性が高まってきているのです。

昨今は攻撃技術の進化によって見えない攻撃が増えています。攻撃を受けたとき、企業としてどの資産を守るのか。システムやデータベースといった視点からも、見えない攻撃にどう対応するかを『見える化』していく必要があるのです。

図:ディスカッションの意見をまとめたホワイトボード

企業規模が大きくなると、守るべき財産である資産やデータは人だけでは全体を把握することができなくなります。しかしサイバーセキュリティに関しては無関心な企業の経営層も多く、サイバー攻撃に対応しているスタッフと経営層の意識の乖離がある

と名和はいいます。関心がないために何か発生しても経営層への状況説明や対応内容の説得で、インシデントレスポンスの8割ぐらいのリソースを取られてしまうこともありえます。当事者意識がない経営層に対してサイバーセキュリティの必要性や、インシデントが発生したときの損失などを伝え、セキュリティに対する考え方を変えていただく必要があります。経営層がサイバーセキュリティの重要性を理解することで、インシデントが発生したときにでも対策が円滑に進められるようになるのです。

 

 

企業が取り組むべき課題解決に向けて導き出されたキーワード

  • 守るべき対象定義、国家支援
  • AIによる防御の説明責任
  • 守るべき対象定義
  • 無関心な経営層の改革

 

 

サイバーセキュリティを支える人材育成の難しさ

過去に学びつつ新しいことにチャレンジしていくことで、技術も脅威への対策も進化していきます。サイバーセキュリティに対する仕組みや取り組みを進めていく上でも、技術だけではなくそれを進めていく「人」も重要です。人材育成を始めとしてサイバーセキュリティそのものの技術力を上げていくことも必要ですが、経済産業省大臣官房 サイバーセキュリティ・情報化審議官 伊東(以下、伊東氏)は制度を作るなどして情報の共有の仕組みの構築にも取り組んでいるそうです。

2030年の世界では、サイバーセキュリティで求められる人材像が変わっているかもしれません。伊東氏は、サイバーセキュリティは理系でもあり文系でもあり、両方がわかる必要があると考えているそうです。そういう観点で人材育成面を考えていくと、今後は人材教育のあり方も変わっていくのではないでしょうか。

今後どういう人材を育成していくことが望ましいのでしょうか。

技術に優れていて、かつ人を束ねていける。計画に基づいてタスクを動かして結果を上に報告できる、『サイバーオフィサー』みたいな、技術に明るく、的確に経営層に報告できる人材ではないか

と伊東氏はいいます。しかし人を育てるといっても非常に難しいものです。費用対効果がはっきりと見えにくい部分もあり、必要だと思っていてもセキュリティにコストをかけられないケースもありえます。そういったときにはセキュリティそのものを専門の企業へアウトソースすることも考慮すべきです。

伊東 寛 氏 経済産業省大臣官房 サイバーセキュリティ・情報化審議官

サイバーセキュリティでは人(自然人)と人間ではない機械やAI(非自然人)、どちらも両方対処していかないといけない

と唐川はいいます。もし誤ったAIを作ってしまうと人がロボットにコントロールされる状態が起きることも考えられます。これからの時代、自然人はAIなどの非自然人をどうコントロールしていくかが重要になり、非自然人であるAIにコントロールされないような適応能力を向上することが求められるのです。

 

 

人材育成に向けて導き出されたキーワード

  • 人材教育
  • 自然人と非自然人

 

 

Catalyst Sessionで導き出す未来像

図:ビジュアル化されたディスカッション内容

カタリストメソッドを使った最終セッションでは、総括して答えを導き出します。「2030年に働き盛りの年代であると仮定したとき…どのような一日を過ごしているのだろうか?」という共通のテーマで、各専門セッションでディスカッションした内容が報告され、それに合わせて『Tokyo Graphic Recorder』の清水淳子さんがビジュアル化していきました。

他の2つの専門分野「スタートアップビジネス」、「デジタルエクスペリエンス」のディスカッションからは「週休5日」や「教育」、「ワークバランス」、「人間と機械の責任分界点」など、サイバーセキュリティにも関連するようなワードがでています。いくつものキーワードが注目されていましたが、印象的なのは、「自然人・非自然人」、「守る」などでした。

ネットワークに依存する度合いが高い社会になってきている現在、それを支えるセキュリティを守るものは非自然人(機械)ではなく自然人(人間)のはずです。社会が変わることで技術も合わせて変革していきます。そして変革に対応した人材教育も不可欠になるのです。今回のディスカッションでは、パネリストの方々から、これから求められるキーワードが多数上げられており、これらが今後の企業や社会におけるサイバーセキュリティを支える要素になってくるに違いありません。

最後にサイバーセキュリティのグループディスカッションで出てきた「企業は自社だけではなくお客様も守るために求められるのがサイバーセキュリティであり、見えにくいセキュリティの重要性などを経営層に伝えていける人材の育成が求められている」といった話題も取り上げられました。「最終的には変わらない人間の本質とどう折り合っていくかが課題なのだ」という企業の発展のために必要な方向性が導き出されました。

イベントを通して名和は、

サイバーセキュリティのセッションのまとめは、大きな変化として、守る対象が『自社』から『お客様』に拡大しながらも、人類は(サイバー)セキュリティにおいて同じ過ちを繰り返しているという現実を直視するところに大きな軸が置かれた。議論の中心となったキーワードとしては、『シンギュラリティ』、『偽ニュース」『人間のモラル』などの広範囲にわたるものとなり、サイバー空間の課題認識の難しさを映し出したものとなった。

と語り、『PwC Technology Day 2017』を締めくくりました。

サイバーセキュリティ グループディスカッションメンバー

Contact us

PwCサイバーサービス合同会社

〒104-0061 東京都中央区銀座8-21-1
住友不動産汐留浜離宮ビル

Tel:03-3546-8480

E‐Mail: JP_Cons_pcs.info@pwc.com

Follow us

Twitter Facebook Youtube