セキュリティが“負の投資”から競争力に変わる日
SoftBank for Biz | NewsPicks Brand Design
2017/10/19
AI、ロボット、IoT──日々メディアをにぎわせている最先端テクノロジーが、徐々に現実の暮らしやビジネスに入り込み始めている。かつての「未来」は、どのように「常識」へと変わっていくのか。技術の発展が「3年後のビジネスの現場」に起こす変化について、各領域のキーパーソンがリアルな未来図を展望する。(全6回連載)
2016年4月、ソフトバンクは、情報セキュリティの先進国イスラエル発のセキュリティ会社、サイバーリーズンと合弁会社を設立し、日本での情報セキュリティ事業に拍車をかけている。
IoTやAIの浸透によって、データ量が増え続けることは間違いない。そうなれば、そのデータを安全に保つためのセキュリティ対策も今以上に重要になる。セキュリティはビッグビジネスになるのか。
セキュリティ事件・事故は「大病」と同じ
情報セキュリティ対策は依然として何も生まない“負の投資”と見られがちだ。情報の漏えいや改ざんなどの事件・事故が起きた後にしか、投資されにくい分野という位置付けはあまり変わっていない。
とはいえ、IoTやAIが普及し人を介さずにデータが生成され、行き来する世界になれば、データ量は爆発的に増大し、情報が盗まれたことや改ざんされたことにすら気付かず、今以上に危険な状況に陥る可能性がある。
「データの海」の中を生きるための情報セキュリティ対策について、ソフトバンクグループでAIを活用したセキュリティソリューションを提供するサイバーリーズン・ジャパンCEOのシャイ・ホロヴィッツ氏と、日本有数のセキュリティサービスを提供する株式会社ラックの代表取締役社長を務める西本逸郎氏が語り合った。
──データ量が爆発的に増えると、そのデータをセキュアに管理することがますます複雑になると感じています。セキュリティはかなり重要だと思うのですが、地味と言いますか、事件・事故がないと注目されない分野という印象がぬぐえません。
西本:私は15年以上情報セキュリティ分野に関わっていますが、ご指摘の通りで「事後対策感」は否めません。特に日本では痛い目に遭わないと対策を講じない傾向があります。
当たり前ですけれど、セキュリティ対策って今成立している環境を守るためのもの、「何も起きないようにするための対策」です。
とはいえ、安心して仕事をしたり、暮らしたりしていることに慣れ、当たり前と感じると、「何も起きていない=何も得ていない」と思ってしまい、新しい価値や効果を求めて別のことにひとやモノ、お金を充てたくなり、相対的にセキュリティ対策の優先順位は下がる。
そうなれば、セキュリティ対策は手薄になり、情報の漏えいやデータの改ざん事件や事故に見舞われる可能性が高まります。そして、被害に遭ってしまう。それで初めてセキュリティの重要性に気付く。こんなプロセスをたどるのがセキュリティ対策の一般論です。
セキュリティって病気とよく似ています。自分はいつも元気だと思って暴飲暴食を続けていると、いつしか体に変調が見られて、痛みや苦しみに襲われる。病院に行ってみると、がんなどの大病にかかっていて手遅れという状況もあるでしょう。
サイバーセキュリティも同じです。普段の対策を怠っていると、知らぬ間にリスクは増え、情報漏えいやデータ改ざんといった大きな痛みや苦しみをいきなり味わう。結果的に、信用失墜や金銭的被害に遭い、取り返しのつかない状況に陥る……。
だから、私はお客様と接する時に、この病気の例をお話しして、「何も起こらないことの幸せ」を根気よく説明しビジネスしてきました。
ホロヴィッツ:日本は安全で安心な国ですから、他国に比べてセキュリティに対する考え方は違うのかもしれませんね。とはいえ、日本もそうは言っていられなくなった。私は、日本のセキュリティに対する意識はかなり速い速度で高まっていると感じています。その理由はやはり、IoTやAIといったテクノロジーの存在です。
業種や業界、企業規模を問わず、テクノロジー、データの活用が企業の成長を左右する要素になるのを企業は強く感じており、それを安全、安心に利用したり、管理する重要性にも気付き始め、具体的な策を打とうと動き始めている印象があります。
西本:ホロヴィッツさんの言う通り、IoTやAIが注目度を増すことによって徐々にセキュリティへの意識が高まっていることを私も感じています。
日本企業や日本人は、「危ないから使わない」という意識が強かった。何か新しいテクノロジーや仕組みを導入しようとする時、その内容を調べて少しでもリスクがあると、「危険だからネットにつなぐのはやめよう」「パソコンは持ち出さないようにしよう」「スマホも限定して使おう」となってしまう……。つまり、石橋を叩いて渡らないわけです。
確かに、使わなければ安全です。ですが、IoTやAIが普及することによって、そうは言っていられなくなった。テクノロジーがビジネスを大きく左右するのであれば、その恩恵に触れられるように新しいテクノロジーの活用にチャレンジする。
ただ、その一方でリスクもあることを認識し、そのリスクを抑える強固な体制を築くことが大事。そういう意識が、まだまだではありますが、徐々に浸透していると思います。
人の限界、AIの利用は必然
──AIはセキュリティニーズを強める存在である一方で、セキュリティ関連のプロダクトやサービスを進化させるためのテクノロジーでもありますよね。
ホロヴィッツ:AIの普及、IoT環境の整備が進み、企業が生成するデータが増えると、当然、私たちのようなセキュリティプロダクトメーカーや西本さんのラックのようなセキュリティサービス会社が守るべきデータも増えます。
その膨大なデータをAI抜きですべて守るのには限界があります。つまり、AIを活用していないセキュリティ製品やサービスでは今後、企業の重要な資産を守ることはできないと思っています。
セキュリティ対策は不正なアクセスを試みるハッカーとそれを守るためのユーザー側の「いたちごっこ」で、ハッカーのレベルについていかなければなりません。
銀行強盗をするのに銃はいらない時代です。銃をもって強盗に入るほうが犯罪者にとってリスクが高くリターンも少ないかもしれません。それだけ、サイバー上には犯罪者にとって利益を得られるデータがあるということ。
今ハッカーたちは、AIを積極的に学び、ユーザーが大量に生むデータを、AIを使って盗もうとしている。そうなれば、守る側のユーザーやベンダーもAIを駆使していかなければならないのです。
余談ですが、AIを駆使した我々の製品は、1秒に800万のセキュリティインシデントを分析することができます。AIを使っていない1世代前の製品は、どんなに高度なものでもせいぜい3万ほどしか分析できませんでした。比べものになりません。
西本:AIをうまくセキュリティに応用してくれたのはありがたいことです。
道を歩く時、信号を見ますよね。信号を見て、右を見て、左を見て、また右を見てと人の目が動いて渡っていいかを判断する。簡単に言えば、データセキュリティもこうした分岐点をシステム上で何度もチェックしているのです。データが増えれば増えるほど、この分岐の判断が多くなる。
1本の道から2本の道に分岐するなら簡単ですが、この道が5000本くらい重なっていたらどうでしょう。それらを人が全部チェックするのは無理ですよね。
それに、これまでのセキュリティ製品やサービスは決められた手順、つまり「想定した中」で動くわけですよ。ところが、今は、想定外のことが起きてくるわけで、私からみると、既存製品は全くその部分が考慮できていない。
それを考慮しようとすると人間の知恵だけでは不可能で、AIを駆使しなければならないのです。
ラックが運用する「JSOC」。100人ほどのセキュリティエンジニアを確保し、企業が導入するセキュリティ監視機器の運用や、不正アクセスの分析や不正侵入検知後のインシデント対応までを24時間365日体制で行う。
「東京五輪」前に強靭な体制を
──2020年になる頃、セキュリティの位置付けは今よりも変わっているでしょうか。
ホロヴィッツ:オリンピックが開催される2020年、東京を中心に日本は世界から注目を集めます。それはサイバーアタックの対象として優先順位が上がるということも意味します。
サイバーリーズンは、孫(正義)さんと手を組んで、日本がこの大きなチャレンジに対応できるよう、イスラエルを始め、世界のあらゆる国から知能を集結させて日本に投入しています。最も大切なことは、リスクを最小限にするために最先端の最高のテクノロジーを使って皆で力を合わせることだと考えています。
西本:AIやIoTの登場で、第4次産業革命といえる大きな変革の時期に私たちはいます。この最中に、日本がオリンピックを迎えられるのは非常にラッキーです。このチャンスを生かさない手はない。
テクノロジーの浸透によって新しい価値を生むチャンスがある、五輪の開催によって世界に注目される。そんな攻められる環境の中で、攻め続けるには盤石の基盤を整える必要があります。
セキュリティは負の投資と言われて久しいですが、今後はそうはならないでしょう。強固なセキュリティ対策を施しているかどうかが、その企業の価値を見定める物差しになる時が必ずやってくるでしょう。
(取材:木村剛士、文:狩野綾子、写真:長谷川博一)
SoftBank for Biz | NewsPicks Brand Design
