セキュリティを“霊感”で考える？ 安藤類央氏が語るAIの本質とは：ITmedia Security Week 2024 春 イベントレポート

ITmedia Security Week 2024 春に国立情報学研究所の安藤類央氏が登壇し、セキュリティインシデントを防ぐために必要な“霊感”という能力について説明した。一体これはどのような能力なのか。

[宮田健，ITmedia]

　2024年5月27日〜6月3日に開催された「ITmedia Security Week 2024 春」で、国立情報学研究所の安藤類央氏（ストラテジックサイバーレジリエンス研究開発センター特任准教授）が登壇し、「サイバーレジリエンスにおける『人間的要素』と『霊感』」というテーマで講演した。

　同講演では“霊感”という、サイバーセキュリティとは一見無関係の言葉を用いつつ、数学的、そして文学的な知見を交えた独特の切り口でサイバーセキュリティにAIを適用する上でのポイントが語られた。その様子をレポートしよう。

本稿は、アイティメディア主催イベント「ITmedia Security Week 2024 春（2024年5〜6月実施）における安藤氏の講演を編集部で再構成した。

AIによるアラート検知を実現する上で必要な能力とは？

　セキュリティ人材不足が叫ばれる昨今、運用にかかるコストや担当者の疲弊を低減することは重要なテーマとなっている。最近は生成AIなどをサイバーセキュリティに取り入れ、人材不足を補う動きもある。しかし安藤氏によればこれをうまく進めるためには、AIの実装や運用技術に加えて“人間的な要素”も必要になる。

　では“人間的な要素”とは何かというと、講演タイトルにも入っている“霊感”がそれに当たる。安藤氏によると“霊感”とは、インシデント分析を実施する上で避けられない「誤警報」（誤検知）とどう向き合うかを表現した言葉で、セキュリティのコアとなる考え方だという。果たしてこれはどのようなものなのだろうか。

国立情報学研究所の安藤類央氏（ストラテジックサイバーレジリエンス研究開発センター特任准教授）

　安藤氏によると、アラートにおける誤検知には2つの種類がある。一つは「見逃し」、もう一つは「積極的誤警報」と呼べるものだ。後者は「インシデントの可能性があるが現状を見る限り何も起きていない状態」を指し、安藤氏の言葉を借りるといわゆる“幽霊”のようなものだという。

　この“幽霊”は組織が予期していない、システムの検知外の領域から発生する影響度の大きいインシデントに関連している可能性があるため、これをいかに検知して対応するかが重要になる。

　安藤氏によると、上記を踏まえてアラートの検知能力にフォーカスすると、セキュリティ人材は以下の3つのタイプに分類できるという。

• タタール人の砂漠タイプ：　高性能なシステムや高精度なAIを重視するタイプの人材。システム構築やルール設定によって誤検知を減らそうとするが、その分インシデントを見逃すリスクもある
• ソーシャライザータイプ：　コミュニケーション能力に長け、コンサルティングや他社から情報収集することを重視する。情報収集能力に長けているものの、インシデントの発見能力は高くない
• 霊能力者タイプ：　誤検知を多く拾うため疲れやすいが、“幽霊”のような、システムの検知外の領域から発生する影響度の大きいインシデントを感知・対応できる能力“霊感”を持っている

　「“霊感”が高ければ組織のレジリエンスを破壊するインシデントを見つけられる可能性もあるが、細かく見る分“アラート疲れ”を起こすこともある。そのため組織としてはこの3つのタイプのセキュリティ人材をバランス良く採用できることが望ましい」（安藤氏）

　安藤氏によると、注意してほしいのは、人はついつい「AIによるインシデント検知」を万能だと勘違いしてしまう傾向にあるが、AIはあくまで人間の認知能力の代替であり、可視化できる部分とできない部分（見逃しと“幽霊”）に「単に線を引くだけ」だということだ。つまり、どこを見えなくし、どこを見えるようにするか、これを運用する人間自身が決める必要がある。

　「レジリエンスを破壊するようなインシデントはAIによる検知モデルの外から引き起こされる。そのためこれを防ぐには“霊感”が必要になるが、誤検知が増えると場合によってはシステムがダウンしたり、担当者が疲れてしまったりする。これに向けてある程度は誤検知を許容し、大きな山火事を起こさない代わりに、細かいボヤは起きるようにしておくのが重要だ」（安藤氏）

　AIはセキュリティ対策において有効なツールだが、人間の判断と協力が不可欠だ。3つのタイプの適切な人材配置とレジリエンスの考え方を導入することで、より効果的なセキュリティ対策を実現できる。