連載：DXにおけるDevSecOpsとは？「AI/機械学習のサイバー脅威と、日本流DevSecOpsの導入方法」「DevSecOps Days Tokyo」レポート③（前編）

執筆者

DOORS編集部

公開日

2021.01.14

更新日

2024.03.06

DX時代において、業務システムは改革の対象の一つとなっています。業務にマッチしたシステムを構築する必要性から、開発と運用がダイナミックに連携し、改善を繰り返す開発手法である「DevOps」が浸透しつつあります。

しかし、DevOpsで実現される高速開発と高頻度のリリースを、従来型のセキュリティ対策だけで守りきるのは困難です。そこで、DevOpsにセキュリティを融合させた「DevSecOps」の重要性に注目が集まっています。

2020年10月5日と6日、「DevSecOps Days Tokyo」（主催・DevSecOps Days Tokyoコミュニティ、後援・アメリカ大使館・経済産業省・カーネギーメロン大学CyLab、SEIほか）がオンラインにて開催されました。

DevSecOpsDaysとは、米・カーネギーメロン大学や先端テクノロジー企業の有志によって始められた、DevSecOpsについての情報交換を行うコミュニティイベントです。2020年には東京の他、サンフランシスコやロンドン、シンガポールなど、合わせて世界12都市で開催。
DevSecOpsをテーマにしたイベントが日本で開催されるのは初めてであり、米・国防総省やカーネギーメロン大学関係者が登壇することで注目を集めました。

ここでは、DevSecOps Day Tokyoを4回に分けて、スペシャルレポート。今回は、株式会社ブレインパッドの韮原祐介氏の講演「AI/機械学習のサイバー脅威と、日本流DevSecOpsの導入方法」の内容をレポートします。

「DevSecOps Days Tokyo」レポート①はこちらからお読みいただけます。
「DevSecOps Days Tokyo」レポート②はこちらからお読みいただけます。

※本記事は、ブレインパッドがDevSecOps Days Tokyoの許可を得たうえで、本イベントを聴講し執筆しています。細心の注意を払って情報を掲載していますが、そのコンテンツの誤謬・遅延・正確性・相当性・完全性などについて一切責任を負いかねますのでご了承ください。

イベントの模様はYouTubeに公開されています。

・Day1：https://www.youtube.com/watch?v=poMiLi0kS88&t=5689s
・Day2：https://www.youtube.com/watch?v=DOaWf2aKFwg&t=1867s

一般講演「AI/機械学習のサイバー脅威と、日本流DevSecOpsの導入方法」

韮原祐介氏
https://www.youtube.com/watch?v=DOaWf2aKFwg&t=1867s　より

今日は3つのことをお話ししたいと思います。まずこのイベントを主催することになった理由、AI/ML（人工知能・機械学習）のサイバー脅威について、最後に日本流のDevSecOpsの導入方法についてです。

人間の直観やひらめきは今のAIにはない

私は、2015年頃からデータサイエンスをレバレッジして、会社をどう良くしていくのか、業務プロセスをどう改善できるかということを試みてきました。当時すでに機械学習や深層学習は存在していましたが、それらを「人工知能」や「AI」と呼ぶのは少し「恥ずかしい」時期でした。

人工知能やAIというと、一般的に広く浸透しているイメージとして、ドラえもんや鉄腕アトムといったものが浮かぶ方もいらっしゃいます。機械学習や深層学習でできることはかなり限られているにも関わらず、そういったイメージと人工知能という言葉が被ってしまい、誤解を生むのではないかと考えていました。

　大きく潮目が変わったのは、2016年3月に、ディープマインドという会社が開発した囲碁AI「アルファ碁（AlphaGo）」が、棋士のイ・セドルに勝ち、脚光を浴びたことです。この出来事をきっかけとして人工知能と呼ぶことへの心理的抵抗が減りました。

　2018年頃になると、機械学習や深層学習を、世間にならっていっそのことAIと呼んでしまおうと思うようになりました。2017年には既に、日本ディープラーニング協会という素晴らしい団体も設立され、「AI＝ディープラーニングや機械学習」と社会的に広まりましたので、そろそろいいかなと。ただ、2018年3月に出版された私の著書では「いちばんやさしい機械学習プロジェクトの教本」というタイトルにしました。AIという言葉をあまり使いたくなかったのは事実です。

　2015～2017年は、AI関連技術が雨後のたけのこのように次々とサービス化されました。GoogleやMicrosoft、IBMといった大手からコグニティブ系のAPIが出たり、今回ユーザーグループに後援していただいているTensor Flowも正式版がリリースされたり、非常に面白かったですね。機械学習関連の技術が世の中をドラスティックに変えていき、新たなテクノロジーが次々と生まれる中で、これをどうやって商売にしていくべきか。流れを気にしていた時期です。

　2018年以降は、イノベーションを起こすベースとなる技術は大体出そろったこともあり、デプロイが進む時期かなと。さまざまなアルゴリズムが発明され、便利なデータベースやツールが登場し、さらにはクラウドも浸透しました。以上のようなソースとなる技術が「どこに」使われるのかが大切だと考えています。

今現在はどう見ているかと言うと、逆に、人工知能を支える要素技術の進化というのはいったん「踊り場になった」のではないでしょうか。ディープラーニングを含めた機械学習では、統計的処理によってパターンを学習するということが行われています。AIは、画像を見て猫か犬かは分かっても、例えば、ユニコーンという想像上のもの、つまり過去のパターンにないものをいきなり生み出すことはできません。過去のトレンドを見て明日の販売量がどれくらいになりそうかは予測できますが、突然のヒットやブームは分かりません。また、AIはレンブラント風の絵を生成することもできますが、キュビズムのような新しい画風を発明するということはできません。人間の直観やひらめきは現在のAIにはないので、過去のデータがないものについて、今のAI技術で対応するのは非常に難しい。難しいというよりも、原理的に不可能です。

現在のディープラーニングの元となっている技術のひとつには、1979年に福島邦彦さんの発明したネオコグニトロンがありますが、そこから33年かかってトロント大学のヒントン教授が現在のディープラーニング（畳込みニューラルネットワーク）についての論文発表をしています。直観やひらめきがどのようにして起こるのか、どうすれば再現できるのか、ということについて、身体性が今のAIには足りないといったことなども言われていますが、身体性をどう再現していいのかもわからない状況ですので、ディープラーニングが実を結ぶのにかかった時間ぐらいはまた次世代の革新的な人工知能技術を生み出すのにかかるのではないかと考えています。ちなみに、次世代人工知能技術の開発については、私自身も研究者として関わっています。東京大学とコグニティブリサーチラボの共同研究で、NEDOの研究プロジェクトで次世代人工知能技術の研究者を生み出すための、主に中高生に向けた教育プラットフォームを開発しています。

ソフトウェア開発のあり方を改善すべくDevSecOpsのイベントを企画

では、なぜDevSecOps Days Tokyoを主催することになったかお話ししましょう。人工知能の要素技術の進化はいったん踊り場に来ましたが、一方でSociety5.0が提唱されたように、社会変革はどんどん進んでいきます。しかし、その裏でサイバー攻撃の脅威が深刻になってきているのです。今こうしている間にも色々なところでサイバー攻撃は起きています。記憶に新しいところですと、新規参入のモバイル決済業者が不正利用により事業停止に追い込まれていますし、つい先日も通信事業者のサービスで、銀行口座の不正利用が起きています。こうしたサイバー脅威への対処のために、私はソフトウェア開発のあり方そのものを見直すべきであると考えています。そういった風土が今の日本にはなく、なんとかしたいと考えたことがDevSecOpsのイベントを開催した理由です。

現在のサイバー関連業界は、既に出来上がったシステムを前提として、そこに何らかの危機が発生した後に事後調査や復旧対応を行っています。Society5.0を進めていく上で重要な役割を果たすAI業界も、いまはこんなアルゴリズムを使ったら、これだけいい精度が出ただとか、スケールするモデルが作れた、こんな活用事例が出ましたということばかりが話題になりますが、そもそもシステム化する上でのサイバー脅威の有無についてから議論が必要だと思っています。また、システムの開発力や開発スピードそのものが、サービスや企業全体での競争優位を生み出すための源泉になりつつあるにもかかわらず、日本のIT/SI業界の構造はこの30年間ほぼ変わっておらず、ビフォア・インターネット、ビフォア・クラウド/AIのままです。そろそろ何か地殻変動が起きてもいいのではないか、DevSecOps Daysのようなボトムアップのコミュニティを通じた、産業構造の変化へのきっかけ作りをしてみたいと思ったのです。

AI/MLのサイバー脅威が大きな問題に

次に、AI/MLのサイバー脅威についてお話しします。いま政府が進めている「Society5.0」は成長戦略の柱になっています。日本はデータとAIを活用してGDPを増やしていくという投資戦略を掲げ、2016年、2017年頃から「日本再興戦略」や「未来投資戦略」が閣議決定され、国の戦略として、Society5.0が謳われるようになっています。

Society5.0で解決が期待される社会課題はたくさんありますが、ここでは例として、宅配便の再配達問題について考えてみたいと思います。近年はネットショッピングの利用も増え、再配達によって2600億円ものコストが無駄になっているといわれています。Society5.0に向けた取り組みでは、これをデータやAIの力で解決しようと思うわけです。各家庭にスマートメーターが設置されていくと、機械学習を用いて、電力使用量から家に人がいるかいないか予測できるのです。そして、在宅の家だけをつないでいき配送ルートを最適化することで、再配達を90%なくすことができるといわれています。これでガソリン消費量や CO2排出量も減るでしょう。素晴らしい取り組みに聞こえます。

ではこれを、今日のテーマである、DevSecOpsで考えてみます。DevSecOpsは「セキュリティをソフトウェア開発のあらゆるプロセスで見ていく」というものですが、最初はプランニングから始まります。プランニングのプロセスでは、脅威モデルを考えていくことになります。このシステムを作ったらどのようなサイバー脅威があり得るのだろうということから考えます。

こうして考えると、先ほどはすごく便利に感じた家に人がいるかいないか分かるということが実はとても恐ろしいこでもあるとわかると思います。確実に不在であるとわかれば窃盗被害が起こり得ますし、確実に家にいるのであれば、レイプ被害や要人ならば暗殺の脅威も増します。そんな情報は出回らないはずだと思っても、スマートメーターの機器、インターネット回線を引く通信会社、契約している電力会社、宅配業者、在/不在の判別モデルを作るAI開発企業やその下請け企業など、いろいろな企業が、関わることになります。これらのどこからでもデータ漏洩すれば、こうした危機が現実のものとして起こり得ます。

後編へ続く。

※本記事は、DevSecOps Days Tokyoの許可を得て、記事掲載しています。

連載：DXにおけるDevSecOpsとは？

「DevSecOps Days Tokyo」レポート①：「米・国防総省はどのようにしてKubernetesとIstioへの移行を果たしたか？
「DevSecOps Days Tokyo」レポート②：「DevSecOpsの導入を成功させるための5つのチャレンジ」
「DevSecOps Days Tokyo」レポート③（前編）：「AI/機械学習のサイバー脅威と、日本流DevSecOpsの導入方法」
「DevSecOps Days Tokyo」レポート③（後編）：「AI/機械学習のサイバー脅威と、日本流DevSecOpsの導入方法」
「DevSecOps Days Tokyo」レポート④：「AI/アナリティクスサービス企業でのDevSecOps：これまでとこれから」

この記事の続きはこちら
連載：DXにおけるDevSecOpsとは？「AI/機械学習のサイバー脅威と、日本流DevSecOpsの導入方法」「DevSecOps Days Tokyo」レポート③（後編）

このページをシェアする

コピー
しました

この記事に関する
お問い合わせはこちら

あなたにオススメの記事

人気タグから探す

人気記事ランキング

あなたにおすすめの記事

株式会社ブレインパッドについて

2004年の創業以来、「データ活用の促進を通じて持続可能な未来をつくる」をミッションに掲げ、データの可能性をまっすぐに信じてきたブレインパッドは、データ活用を核としたDX実践経験により、あらゆる社会課題や業界、企業の課題解決に貢献してきました。そのため、「DXの核心はデータ活用」にあり、日々蓄積されるデータをうまく活用し、データドリブン経営に舵を切ることであると私達は考えています。

株式会社ブレインパッド
についてはこちら

メールマガジン

Mail Magazine

データ活用の厳選記事や、会員限定のDXのお得情報などをお届けいたします。

1分で簡単登録！

メールマガジンのご案内