岡山大学野上教授と語る、AIとサイバーリスクの関係性から考える、シナリオベースのAIセキュリティ対策とは

2022-05-31

PwC Japanグループと岡山大学はサイバーインテリジェンスの一環として、「AIビジネスのリーダーが認識すべき『AIセキュリティ対策で重要な3つの視点』」と題したインサイトを共同執筆し、2022年2月に公開しました。

近年は人工知能（AI）の社会実装が進んでおり、多くのビジネス領域でAI活用による新規ビジネスの創出や、業務の効率化が期待されています。一方でAIに対するサイバー攻撃の危険性も指摘されています。特にミッションクリティカルなシステムに搭載されているAIが攻撃されて誤作動を起こせば、その被害規模は計り知れません。しかし、現時点ではAIセキュリティ対策の必要性は十分に認識されていません。

では、AIセキュリティにはどのような対策が必要であり、経営者は何に留意してAI活用を推進すべきなのでしょうか。本対談では上述のインサイトの共同執筆者である岡山大学学術研究院・自然科学学域教授の野上保之氏をお招きし、AIとサイバーリスクの関係性についてお話を伺いました。（本文敬称略）

対談者

岡山大学学術研究院・自然科学学域教授
野上保之氏

PwCコンサルティング合同会社
ディレクター
村上純一

（左から）村上、野上氏

暗号化の基礎技術からアプリケーションまでを網羅

村上：
最初に、野上研究室ではどのような研究をしているのか教えてください。

野上：
はい。野上研究室は岡山大学大学院にある情報セキュリティ工学研究室の1つで、情報セキュリティ技術全般を研究しています。具体的には暗号・乱数・通信プロトコル・誤り訂正符号など、情報社会の安全・安心を実現する研究です。また、そのための離散数学の学習やC・C++・Java・HDLなどのプログラム技術の習得、さらに、FPGA（field-programmable gate array）・マイクロコンピューターなどのハードウェア実装技術も研究しています。

研究室の特徴は、ハードウェアからアプリケーションまで多岐にわたるレイヤーを研究していることです。ハードウェアではFPGAを使用した研究やマイコンに暗号化機能を搭載する研究のほか、あらゆるハードウェアに各種セキュリティの機能を搭載する研究をしています。

具体的な研究例としては、コネクテッドカーのセキュリティがあります。といっても本物のコネクテッドカーを使うのではなく、自動車と同じようなプロトコルを搭載したラジコンや掃除ロボットを自作し、さまざまな攻撃シナリオを想定してセキュリティ実験をしています。

たとえば、コネクテッドカーで使用しているレーザースキャナー（LIDAR）であらゆる障害物を検知させてみたり、車間距離レーダーと同じ周波数帯のレーダー（77GHz帯域ミリ波レーダー）を外部から照射し、誤作動するかを確認したりといったこともやっています。

村上：
ベースの基礎知識として暗号技術を学び、その暗号技術をハードウェアに実装するにはどうすればよいかを理論的に学び、さらにそのハードウェアが社会の中でどのような用途に活用できるかをアプリケーションレイヤーで実践的に研究しているのですね。

岡山大学学術研究院・自然科学学域教授野上保之氏

PwCコンサルティング合同会社ディレクター村上純一

AIを悪用した攻撃――AIは乱数も予測する

村上：
では、今回の対談テーマである「AIとセキュリティ」についてお話を聞かせてください。まずはAI活用におけるセキュリティについてどのようにお考えですか。

野上：
AIの活用領域は幅が広く、さまざまな可能性があります。私はAI活用の入り口になるのは社会の中で実際に利用されるアプリケーションであり、そのアプリケーションの使い方を通じてAIとセキュリティの関係を検討する必要があると考えます。

具体的にお話しましょう。画像認識AIで入室管理をするアプリケーションがあるとします。仕組みは簡単で、事前登録している人物の顔をAIが判定し、入室を許可します。一方、部外者が来た場合には「不審者」として顔写真を撮影し、瞬時にクラウドにアップロードして関係者にアラートを発します。こうしたアプリケーションはすぐに構築できますし、あらゆる利用シーンが想定できますよね。

しかし、「AIをだます」というサイバー攻撃の観点から見ると、このアプリケーションにはさまざまな問題があります。たとえば「野上」という人物の判定をほくろの位置だけで学習していた場合は、同じ位置に偽ほくろを付けただけで、AIは第三者の顔を「野上」と判定してしまいます。もちろん、こんな単純な画像認識AIを搭載した製品が世の中に出回ることはありませんが、「AIはだまされる可能性がある」ことを念頭にセキュリティ対策を講じなければなりません。

村上：
「AIに対してどういう攻撃が想定されるのか」と「その攻撃が成立してしまった場合、どのようなことが発生するのか」は常に考える必要がありますね。加えて、最近では攻撃や防御にAIを活用するという動きもあります。では、攻撃にAIを活用した場合、これまでは不可能とされていたような攻撃が可能になってしまうのでしょうか。

野上：
「オフェンス」と「ディフェンス」は表裏一体です。攻撃者は防御する側の手の内を考えながら攻撃します。一方、防御側は手の内を隠すことで攻撃のハードルを上げようとします。それがAIを使うことでどこまで相手の手の内を把握できるのか、また防御側はどこまで隠せるのかは検証する必要があります。

AIは学習します。たとえば、顔認証システムを攻撃するケースでは適当な顔写真を判定させ続けると、拒否判定させた画像が教習データになり、「認証システムにはどのような顔が登録されているか」が判明してしまうのです。

実は、同じような問題が乱数生成器でも発生します。疑似乱数を用いたセキュリティツールを攻撃する場合は、最初に「どの乱数生成器を使用しているのか」を当てにかかります。そのときにAIを使って攻撃すると、手動で攻撃するのとは比較にならない速さで乱数生成器を特定できます。それが分かってしまえば、「この生成器には○○という特徴があるから、次のビットは○○だ」と推測されてしまう。高性能のAIであれば、100％の確率で次のビットを当てられます。つまり「乱数が乱数でなくなってしまう」のです。

村上：
乱数生成器の特定だけでなく、次のビットまでも予測できてしまうのであれば、乱数を使った防御のあり方を根底から見直さなくてはなりませんね。

AIを使った攻撃を阻止するのは人間のさじ加減

野上：
「オフェンス」「ディフェンス」の双方にAIを活用した場合のインパクトは、さまざまなところで検証されています。ただし、「AI活用」といってもその内容は極めて人為的です。たとえば、セキュリティ対策の第一歩は通常とは異なる“不穏”な通信を検知することです。そのためには「不穏とは何か」を定義して閾値を設定しますが、その定義と閾値を決めるのは人間ですよね。つまり、「何を検出したいか」を決定し、「どこまで作り込むか」というさじ加減を決めるのは人間なのです。

実は、乱数生成でも同じようなことがあります。たとえば、物理乱数を発生させるには、何らかの物理現象を用いる必要がありますが、これは偏りがあります。たとえば、「0」が連続するような乱数が生成された場合には、人間が適当なところに「1」を挿入して“調整”を図ります。こうすれば「どの乱数生成器を使ったのか」を見破られても次のビットは予測されません。

村上：
AIに学習させるのは人間であり、「どの作業に、どの程度AIを活用するか」を判断するのも人間ですよね。では、「どの作業にAIを導入するか」は何を基準に判断すればよいとお考えですか。

野上：
「万が一、セキュリティが破られたとき、どのぐらいクリティカルな状況が発生するのか」が1つの判断基準になると考えます。異常検知でアラートを挙げるような、万が一そのアラートが誤報でも許されるようなシナリオであれば、AIを活用するメリットはあるでしょう。しかし、AIがセキュリティ侵害を受けた場合に人命の危機に直結するようなシナリオでは慎重に検討すべきです。

たとえば、コネクテッドカーの自動速度制御装置（ISA）に搭載されたAIが、制限速度40キロの道路で100キロと誤認識すれば大変なことになります。詳説はしませんが、制限速度標識に細工をしてAIに誤判定させる攻撃は簡単に成立します。しかも、ハードウェアに対するサイバー攻撃は痕跡を残しにくいのです。

村上：
AI自身が自己判断をするような使い方をしている場合、セキュリティ侵害で誤判定をしてしまえば二次災害を引き起こします。今後、さまざまな分野でAIの導入が進めば、攻撃によって当初は想定していなかったような二次被害が発生する可能性も考えなくてはいけません。先生が注目されている攻撃のシナリオや事例はありますか。

野上：
事例ではないのですが、音や音声を悪用した攻撃の可能性に関心があります。最近のプレゼンテーションアプリには「Text-to-speech」機能が備わっています。音声合成技術も非常に進化しており、人間が話をしているように聞こえますよね。

こうした機能は、視覚障害をお持ちの方にとっては強力な支援になります。しかし、テキストから音声にする段階で、書かれていることと真逆の内容に変換するような攻撃が成立したら何が起こるでしょうか。たとえば、政治家が利用しているプレゼンテーションアプリのAIに「平和」という単語だけを「戦争」に置き換えて音声にするよう学習させたら、紛争の引き金になってしまう可能性もあります。

村上：
考えたくない最悪のシナリオですね。

教習データの真正性とデバイス認証の難しさ

村上：
AIに対する攻撃では教習データの真正性も大きな課題です。AIに学習させるデータが間違っていれば、AIが導き出す結果も間違ったものになります。教習データの真正性を担保するにはどのような取り組みが必要でしょうか。

野上：
「そのデータは正しいか」を考える前段階として、「そのデータを収集しているデバイスは信用できるか」を考える必要があります。

IoT機器からデータを収集する流れを考えてください。たとえば、農業分野であれば、土壌水分や気象環境などのデータを収集する端末があり、エッジゲートウェイでデータクレンジングをしてからクラウドにアップロードしますよね。

しかし、エッジゲートウェイで正しくデータクレンジングしているのかはきちんと確認しているのでしょうか。そもそもIoT機器やエッジゲートウェイが正しいデバイスかどうかを認証しているのでしょうか。おそらく答えは「ノー」でしょう。なぜならIoT機器のコンピューターリソースは限定的で、機器に認証機能を搭載するのが難しいからです。もし、搭載しようとすると、リソースの8～9割を割り当てないといけません。そうするとデータ収集に使えるリソースは1割程度になってしまいます。さらにすべてのIoT端末に認証機能を搭載するにはコストがかかる。これでは本末転倒ですよね。

しかし、グローバルでは末端のデバイスまで認証すべきというトレンドになっています。欧州では「信頼される高品質なAI（Trusted Quality AI）」の重要性が謳われています。日本でも内閣府が公開した「AI戦略2019」の中に、「データや真正性、更には本人確認といった点における、信頼確保が極めて重要である」と明記されています。このトレンドは注視していく必要があるでしょう。

村上：
野上先生と共同執筆したインサイト「AIビジネスのリーダーが認識すべき『AIセキュリティ対策で重要な3つの視点』」（2022年2月14日公開）の中では、AIセキュリティ対策で重要な3つの視点として「AIシステムのリスクアセスメント」「攻撃シナリオ分析に基づいた対策のデザイン」「AIサプライチェーンのセキュリティを保護」を挙げています。中でも、AIサプライチェーンでは出自の不確かなデータを学習データとするとセキュリティリスクを高めてしまう点を指摘しています。

学習データなどの外部リソースのセキュリティを確保するためには、それぞれのリソースの提供元が信頼性を保証する必要がありますよね。ただし、ご指摘のとおり「真正性の担保」には技術的な側面とコスト的な課題を克服しなければなりません。こうした課題はサプライチェーン全体で取り組む必要があると再認識しました。先生がこれら3つの視点以外にも着目すべきと考える点はありますか。

野上：
経営者は「AIを活用することで、どのくらい企業価値を向上させられるのか」を考える必要があると思います。経営者にはAI活用による「プラス」と「マイナス」を理解し、正しく判断できるだけの知識を身につけることが求められます。

余談ですが、新しいビジネスの軸としてIoTやAIの活用に意欲的な企業は多いですが、残念ながらセキュリティを度外視しているケースも散見されます。こうした企業に対する啓蒙活動は今後の課題だと考えています。

アカデミアに必要なのは社会実装の観点

村上：
次にAIのガイドラインについて見解を聞かせてください。AIの実装についてはさまざまな団体がガイドラインや指針を示しています。たとえば経済産業省はAI社会原則の実装に向けて、AIガバナンスのあり方を検討しています。また、米国では2020年に、大統領府行政管理予算局が「AI規制10原則」を通達しています。こうした動きはさらに活発化するとお考えでしょうか。

野上：
業界団体が自主的にガイドラインを策定したり、行政が指針を示したりするのはよいことだと思います。ただし、それらはきちんと守られなければなりません。私はAIを規制する最後の砦は法律であると考えています。そして法律と指針の間に齟齬があってはいけません。

村上：
最後にセキュリティ人材育成についてお伺いします。先にサイバーセキュリティの世界では、「オフェンス」と「ディフェンス」は表裏一体であると指摘されました。それを踏まえ、今後セキュリティを担う人材にはどのような素養が求められるのでしょうか。

野上：
現在、ホワイトハッカーが重宝されていることからも分かるとおり、求められているのは高い倫理観と攻撃者の視点で防御対策ができる人材です。技術者は自分の知識やスキルを「人間として正しい方向で役立てる」という倫理観を持たなければなりません。そうした観点からも、大学では技術者である以前に人間として備えておくべき倫理を教える「工学倫理」教育を重視しています。

村上：
近年は日本の経済活動や大学教育の停滞が指摘されています。背景には人口減少やガラパゴス化による国際競争力の低迷などが挙げられます。今後、日本が国際競争力を取り戻すためにはどのような取り組みが必要でしょうか。

野上：
テックジャイアントと呼ばれるような企業に対抗できる人材の育成には、大学教育だけではなく、グローバルなネットワークを持つ企業との連携も重要だと考えます。

たとえば、サイバーセキュリティの領域において、PwCは世界最新の攻撃技術や攻撃事例の情報を収集し、「攻撃者は何を目的にどのような攻撃を仕掛けてくるのか」といった分析をしています。こうした情報や知見を大学側と共有してもらうことで、われわれは実践的な知識を得ることができるのです。

村上：
サイバーセキュリティの領域は産業界のほうが最新の情報や事象に接する機会が多いと感じています。一方、AIの領域では統計や機械学習といった専門知識が必要ですから、アカデミックのほうが先行しています。ですから、私たちは大学で研究しているAI技術を産業界で活用し、どのように社会実装していくかといった分野で大学側とコラボレーションしていきたいと考えています。

野上：
おっしゃるとおりです。大学でもAI活用に関する教育は注力していますが、社会実装はハードルが高いのです。大学の研究者がやっていることは、スタートアップのようなものです。最新技術やだれも手掛けていないような研究には飛びつきますが、それを社会実装するレベルにまで昇華させることに長けていません。

最新技術を理解し、そのインパクトを想定しながらさまざまな領域に社会実装していくという作業は、PwCのような民間企業が長けている領域です。ですから、大学での研究内容を実践的な見地から「社会実装の観点から考えるとどうなのか」というアドバイスをもらえると、アカデミアは空回りしません。

村上：
両者がコミットすることで、新たな相乗効果が生まれますよね。PwCとしてもさらに共同研究を深めていきたいと考えています。本日はありがとうございました。