セキュリティが新技術の活用を加速する：センサー、AI、データを活用するためのセキュリティとは？

クラウドサービス、ブロックチェーン、量子コンピューターのような最先端のテクノロジーによって我々の生活や働き方が今大きく変革しようとしています。ただし、最先端のテクノロジーをうまく利活用するためにはさまざまなリスクを考慮する必要があり、セキュリティが今まで以上に重要になってきます。本記事では「何かあったときのため」といった従来の保険のような考えから、皆様の新しい取り組みを安全に試せる、活用できるようにする未来の実現を加速させる最新のセキュリティ動向を紹介します。マクニカが提案するのが「Security as a Future Driver〜未来の実現を加速するセキュリティ」です。

2030年の朝を実現するために

2030年には、朝起きると健康状態がスキャンされ、体調に合わせた食事をフードコンピューティングが提供してくれるなんてことも、現実味を持って響くようになりました。2030年の朝は、複数のExponential(指数関数的)なテクノロジーの組み合わせにより実現します。

マクニカではExponential（指数関数的）なテクノロジーとして、クラウドやブロックチェーンなど成長中の領域、量子コンピューターや脳インターフェースなど萌芽（ほうが）の領域、eスポーツやライブエンターテインメントなど新たな領域、そしてナノ光学、バイオミメティクスなど土台となる基礎領域の4つの領域に分けています。2030年の朝の実現のためは、さまざまなセンサーがデータを取得してAIで分析することになります。

しかし、セキュリティが気になる方も多いでしょう。日本は安全志向が強く、これまではリスクを最小限にすることで高い品質を実現し、競争優位性を保ってきました。しかし変化のスピードが速くなると、そのアプローチでは限界があります。最低限の安全を担保しながら先に進むという考え方を検討する段階にきています。では、セキュリティを、新しいテクノロジーへの取り組みや活用のドライバーに変えていくためには、どうすればよいでしょうか？

データ、AI、センサーの3つの観点から考えてみましょう。

データの安全な活用を支える「信頼」「民主化」「共創」

データの重要性についてはいうまでもなく、すでに収集の取り組みを進めていることでしょう。しかし、収集して保護するだけでは活用に踏み出せません。安全性を考慮しながらデータを活用するには、「信頼」「民主化」「共創」の3つが重要なコンセプトです。以下で、詳しく説明しましょう。

ユーザーの信頼なしにはデータの収集と活用はできません。そこで有効なのが「PrivacyOps」です。センサー、Webサイト、アプリケーションなどからユーザーの情報を取得する際に、「監視目的ではなく利便性のあるサービスを提供するため」と説明すれば、ユーザーとの信頼関係が構築できます。

PrivacyOpsは、プライバシー領域でユーザーの信頼を得るステップを自動化するものです。具体的には、自分が提供するデータが何のために、どこまで使われるのかを管理できるようにする「許諾管理のライフサイクルマネジメント」、自分のデータについて変更や削除のリクエストを出し、それに応じてもらう「データ主体の権利リクエスト（DSR）対応」、それらを実現する「包括的な個人情報の可視化と管理」、そして万が一のデータ漏えい時に自分の情報が含まれていたかを伝えてもらうことができる「データ漏えい時の個人データ特定」の4つのステップがあります。

このステップはもはや、Excelや手動では管理しきれなくなっています。輪をかけるように、EU一般データ保護規制（GDPR）、カリフォルニア州消費者プライバシー法（CCPA）、そして日本でも個人情報保護法の改正が施行されるなど、規制への対応も求められています。PrivacyOpsを取り入れることで、自動化ソリューションを使って、プライバシー対策を効率化できます。

データの民主化とは、社員が社内にあるデータを活用できるようにすることです。そのためには、瞬時にデータにアクセスできる環境を整える必要があります。それを支援するのが「DataSecOps」です。

アプリケーション開発をよりアジャイルにするDevOpsが、セキュリティをプロセスに組み込んでDevSecOpsに発展したように、DataSecOpsは、データの民主化を進めるプロセス(DataOps)にセキュリティを組み込んだものです。

データレイクやデータウェアハウスなどの技術を用いて、データを一カ所にまとめる仕組みを構築していることでしょう。DataSecOpsを導入して、データの利用者と管理者とが協調して、計画、準備、分析、デプロイ、フィードバックといったプロセス、ツール環境や組織文化を継続的に改善することができます。ここでのポイントは、明確なアクセスポリシ、一律した優先順位付け、横断的なコミュニケーション、安全で能率的なデータアクセス、段階的かつ継続的なプロセスです。これにより、セキュリティを後付けではなく最初から組み込み、スムーズかつ安全なデータの利活用ができます。

データの民主化の次のステップが共創で、他社とデータを共有したり、データサイエンスを外注したりすることです。例えば投資会社は投資戦略を立てるためのモデルを持っており、モデルが学習する消費者情報のデータは小売業にあるといった場合、異なる企業が共創するためには規制などのハードルがあります。

そこで、プライバシーと機密性を担保する技術「Privacy Enhancement Technology（PET）」を用います。PETには、匿名化などよく使われている技術もありますが、新しい技術として、ノイズを入れる合成データ、ディファレンシャル・プライバシーなどがあります。また、ノイズを入れるとデータの質が下がってしまうので、フェデレーテッドラーニング、準同型暗号など暗号化したまま分析可能な技術も出てきています。これにより、データの中身を見ることなく共有できるようになり、安全なデータの共創が可能になります。

この領域は、今後も次々とソリューションが出てくることでしょう。

AIが関与する領域は拡大、セキュリティはどうあるべき？

ここまで信頼、民主化、共創の3つの点でデータについてみました。このデータを分析するのがAIです。AIは現在、意思決定の支援に使われていますが、今後AIの関与は増えてわれわれが気づかない見方や切り口をデータから導き出してくれることでしょう。最終的には、AIが自動的に意思決定をすると予想できます。

人の関与が減る中で重要なことは、AIシステムの信頼性と安全性です。これはビジネスの生命線と言っても過言ではないでしょう。

AIのセキュリティは、通常のソフトウエアのセキュリティとは違う性質を持っています。AIは、過去のデータを元に未知の事柄に対応するために、膨大なデータを与えてコンピューターに学習させています。つまり、ソフトウエアとは異なり、常に変化しているのです。また、AIの利用頻度が増えることで、データ量やモデル数も増えます。さまざまなアプリケーションにAIが組み込まれるようになると、AIシステムの構築と実装に伴う技術で課題が生じる可能性もあります。この点も、ソフトウエアセキュリティとは違う点となります。

さらに、AIにはブラックボックス性という特徴もあります。最初に意図したことからどんどん離れてしまうという問題で、与えるデータやモデルによりバイアスがかかることもあります。それらを分析しながら、継続的に使えるようにする仕組みにしておかなければなりません。

これらのAIの性質を踏まえると、AIのレジリエンスが重要であるといえます。そして、AIのレジリエンスを加速するセキュリティが「ModelOps」と「MLOps」です。MLOpsのMLは機械学習(Machine Learning)の略で、データサイエンティストを対象としており、モデルの管理、監視などをCI/CDの観点で行うものです。MLOpsが作る人向けであるのに対し、ModelOpsはビジネスリーダー、CIO、IT担当者向けのコンセプトで、AIモデルのパフォーマンスを可視化します。これにより、当初のビジネス目的に照らし合わせてAIのモデルがその通りに動いていることを、ステークホルダーや関係者に示すことができます。機械学習だけでなく、ディープラーニングも含めた統合的なモデルの管理をすることにより、AIのレジリエンスを加速できるでしょう。

MLOpsとModelOpsにより、ガバナンス、透明性、監査性を横断的に提供できます。不要なタスクを削除したり、AIの再現性を向上したりすることで、AIの導入や運用コストを削減でき、さらには攻撃に対する防御力の強化も期待できます。

量子コンピューターの暗号解読に備える

センサーは、データを取得する部分であり、ここがきちんと動いていなければ未来を実現できません。センサーそのもののセキュリティは、これまでのPCにおける防御の考え方と同じと言えます。PCでは、「CrowdStrike」のようなEDR（Endpoint Detection and Response）を入れて保護しているように、IoTデバイス向けのEDRを入れてセンサーを保護します。OSの下のCPUやメモリの脆弱性に対しては「VBOS（Vulnerability below the OS）」のIoT版も有効な手段でしょう。

データを送るという点では、これまでは暗号化されていれば安全でした。ですが、Exponential（指数関数的）なテクノロジーの1つである量子コンピューティングにより、暗号の解読が瞬時に行われると言われています。そこで、「Post Quantum Cryptography(PQC)」に対応した量子通信、量子暗号技術を取り入れることで、より安全にデータを送信できるようになります。

サプライチェーンマネジメントのセキュリティも考慮すべきポイントです。ソフトウエアはさまざまな部品でできており、部品に脆弱性が含まれていないかを管理するために、部品表（BOM）のソフトウエア版である「Software Bill of Materials(SBOM)」や「Supply-chain levels for Software Artifacts(SLSA)」などの考え方をもとに、自社が使っているソフトウエアの安全性を管理し、センサーを守っていくというアプローチが重要になります。

未来の実現を加速するセキュリティ技術

最後に、未来の実現を加速するセキュリティ技術の例を2つ紹介します。

1つ目は、Privacy Enhancement Technology領域で技術を提供するBrighter AIというドイツ企業です。画像内の顔や自動車のナンバープレートを自動認識して、属性をキープしたまま匿名加工する技術を開発しています。これにより、データの質を下げることなくプライバシーに配慮できます。

2つ目は、ModelOpsとMLOpsに該当する米国のRobust Intelligenceです。AIモデルの予測精度や脆弱性を診断するサービスを提供しており、AIにまつわるさまざまなリスクを軽減できます。

セキュリティはこれまで守るための技術でした。新しい技術を活用してDXを進めようという企業も多いと思いますが、これからのセキュリティはこのような企業の変革を支え、未来を加速するためのビジネスだと考えることができます。

マクニカは世界にアンテナを張り、最先端の技術動向を追っています。製品、インテリジェンス、スペシャリストを備えており、今の課題、そして未来の実現を加速するセキュリティの実現を支援していきます。