プライバシーとセキュリティ産業で生まれた変化
プライバシーとセキュリティ問題はサービス設計時に検討することがとても重要です。
今回はAIとセキュリティ、及びプライバシーの専門家であるパメラさんにセキュリティとプライバシーの重要性と信頼できるAIについてお話をお伺いしていきたいと思います。
米国NISTとIEEEで取り組んでいる活動
Pamela:もちろんです。NISTではサイバーセキュリティやプライバシーについての一般的なテーマを取り扱っています。サイバーセキュリティに関するワーキンググループとNIST GCTCではスマートシティに関連したグループの共同委員長の役割を担っています。
丁度先週リーダーシップミーティングが開催されていて、スマートシティのトラスト問題について議論を行っていました。現在公共空間で問題になっている事は何でしょうか?AIのような新興技術における問題とは何でしょうか?というのが私たちが取り組んでいるテーマです。
公の組織で新しい技術を採用しようと考えた際に、私はフレームワーク頼りでは不十分だと考えています。今は大きな変革期にありますね。
私の活動を紹介頂く際に全体を網羅するフレームワーク開発に取り組んでいると話してくださいましたが、スマートシティを例にすると、公共空間に住んでいる人たちが技術について十分に理解することは容易ではないため、必ずしもフレームワークが適切かと言われると不十分だと思います。
私がフレームワーク設計に取り組む際には、これまでフォーチュン500企業に対して戦略設計を行ってきた経験を生かして、必要な知見を提供しています。
公表されているフレームワークを読むだけで、必要な対策が十分に説明されていると思いますか?私は十分ではないと思います。フレームワークをもとに対策を検討するだけでなく、他にも必要な知識を用いることも必要だと思います。
私がインタビューで話してきたプライバシーやセキュリティに関する内容は、業界では当たり前になっていないこともあります。これまでの慣習通りに進めてきたので、私たちはアジリティ(機敏性)の重要性を考えてこなかったのだと感じています。
そのため今になって、何がアジリティで何がリアクティブであるか分けて考えるような議論が始まっているのです。私はこの二つの用語の違いが大きな意味を持っていると思います。リアクティブが意味することは、何かが起きた時の対処療法であり、既に問題が発生してしまっている点で、好ましくない対策であると考えています。
なぜ特定の作業を行う必要があるのかと問われた時に、予測していなかったのでやらざるをえないと回答することもあるでしょう。しかし、問題が起こりうるかどうかを予測して未然に対処することが必要であり、それ以外はリアクティブな対処ということになります。
私はアジリティの考え方が、今必要とされていると話しています。IoTやAI、量子技術やブロックチェーン等の新興技術に関しては、よりアジリティが求められることになります。アジリティが必要なのは、正しくテクノロジーを制御したり、未然にガードレールを敷くようなことであると話しています。
アジャイルのような手法を取り入れることによって上手く行かない場合もあるため、手法にこだわる必要はありません。これから直面する問題は、私たちが今までに経験したことがないものも含まれるため、手段に注目することはよくありません。
そのため、私が話をするときはアジリティとはどういったものあるかを話し、リアクティブとの違いとアジリティの必要性について語ります。セキュリティやプライバシーについてのアジリティを考える際には、一定のパターンを理解し、対処方法として何を準備すれば良いのかを話し合います。これがリスク低減の考え方ですね。
Kohei:ありがとうございます。フレームワークは一つの参考内容として利用するには良いと思いますが、実際の現場では都度対応が異なるため個別対応が必要なケースが多いと思います。
幅広く対応することを目指したフレームワークと現場で運用する際のギャップをどのように埋めていくのかが重要なテーマだと思います。ここからは次の質問に移りたいと思います。
お伺いしたいことはパメラさんのこれまでのご経験に関してです。パメラさんは長年業界で活躍され、素晴らしい取り組みをされてきていると思います。パメラさんが業界で働き始めてから今まででどのような変化があったか教えて頂けますか?
プライバシーとセキュリティ産業で生まれた変化
現在はデータを中心とした新しい機会が続々誕生し、初期のセキュリティやプライバシー業界が抱えていた問題とは異なった課題が生まれているのではないかと思います。パメラさんのこれまでの経験から産業の変化についてお伺いさせてください。
Pamela:わかりました。私が今注力している分野はAIについてのテーマです。これまで4年間AIについて取り組んできています。私がこれまでに関わってきて、3つの変化がAIに関して起きています。
一つ目はAIがソフトウェアとして普及し始めているということです。AIについて話をする際には、既に一つの技術要素として考えるだけでは不十分であるということです。既に数多くのAIシステムが登場し、機械学習や自然言語処理、コンピュータービジョンやロボティックスなど分野は多岐に渡ります。
長年研究されてきている分野もあれば、最近になってデータを活用する機運が高まると同時に注目され始めてきた分野もあります。この変化に応じて、私たちは十分に状況を理解できているとは言えないと考えています。多岐に渡る要素から選定してシステムを設計しようと考えた際に、一体何がリスクになるのかが分からないとも言えると思いませんか?
例えば二つの極端な例があると思います。そのうちの一つがスカイネットです。スカイネットについてはターミネーターという映画でも出てきたので、有名だと思います。このケースでは何がAIかを見抜くことは難しく、一般的な応用で利用されていることになります。
まだ私たちはスカイネットの域に達してはおらず、スカイネットが実現できるかどうかを占う水晶玉を持ち合わせているわけでもありません。ただ、スカイネットが実現する未来を考える際に、今何が実現できているのかを考える必要はあります。私たちがどのようにシステムを設計しているのか?不確かで疑問に思ったことはありませんか?
経験したことはないかもしれませんが、これまでにセキュリティやプライバシーの専門家がFUDと呼ばれる恐怖、不安、疑念を煽るようなこともありました。今では、不確かな要素があったとしても、恐れるようなことはありません。
私たちのような専門家は、不確かなことがあった場合に、何が足りないのかを逸早く発見し、対処することが今では求められるようになってきています。システム開発時には、不確かな点を解決していくことが求められるのです。
図:これからの専門家に求められる能力
私たちに無理難題を求められることがありますが、課題を解決していくことがより重要になってきています。私たちは正確に状況を把握し、対話を通して深めていくことが求められるようになってきました。まさに解決屋さんですね。
これは高度な論理が求められることではありません。何故なら現在起きている課題と現実が繋がっているからこそ、問題解決に繋げることができると信じているからです。私が最も大きな問題であると考えているのは、私たちが現在取り組んでいることと課題が繋がっていないことだと思います。
セキュリティとプライバシーの変化については、こういった複雑なシステムの上での保護をどこまで実現できるのかが重要になってきているのです。
AIを採用したシステムについては、事前に考えるべきいくつかの要素が生まれてきているので、新たなシリーズを始めることにしました。前にお話しした際に紹介したのですが、AIを設計するために必要なフレームワークを準備しています。
このフレームワークをAIティップスと呼んでいます。このフレームワークでは透明性やインテグリティ、プライバシーやセキュリティに関する内容が含まれます。全体を俯瞰してシステム設計を行う際に、このフレームワークの考え方がとても重要になります。
透明性や説明性については不十分であるため、インテグリティの考え方と合わせて考える必要があります。
私たちは自ら提供するデータに対する権利とデータを提供することによって想定される利益を受け取る権利を有しているので、どう言った目的でデータを利用する場合であったとしても、幅広い目的を前提に利用者が提供するデータに対して、企業は倫理的に検討するべきであると考えています。
この倫理的な問題は何か一つのフレームワークのような手法を採用することによって全てを解決できるわけではありません。サイバーセキュリティとプライバシーに対応するための包括的な方法はまだ存在しないのです。
では何故一つの手法で問題が解決しないのかお伝えしたいと思います。AIのような複雑なシステムを設計する場合を想定してみます。この場合はAI自体が対象になるわけではなく、複雑なシステム設計全体を考えてみることが必要です。DNSやDNIを組み合わせる場合を、少なくとも要素として検討しておくことが必要だろうと考えています。
Kohei:ありがとうございます。そうですね。私たちは何か一つの解決方法があるのではないかと探し回るのではなく、システムの複雑性を理解し、技術開発を行う際には社会的な必要性等を未然に検証することが必要になりそうです。考えられる多くの要素を考慮した上で、様々な角度からアプローチを検討していく必要がありますね。
とても重要なテーマについてお話し頂きありがとうございました。ここからは次のトピックに移っていきたいと思います。これまでにパメラさんがYoutubeでお話しされてきた内容を拝見しました。その中で、NISTで取り組まれている取り組みが非常に勉強になりました。
スマートシティを始めとして、様々な技術が組み合わさって新しいものが実現する機会がこれから増えていくと考えられます。社会の変化と共に、データによって実現できる新しい体験が生まれていくと思います。
スマートシティのような広域でデータを利用する場合には、十分にリスクを把握していくことが非常に重要です。街全体がハッキングされることによる影響は非常に大きなものになります。実際に中国ではハッキングが起きて大きな問題になっています。
プライバシーとセキュリティの観点から生まれる新しいリスクとは
政府が全てを管理することは難しいと思います。未然にプライバシーやセキュリティの観点からリスクになりうる要素を予測することが必要だと思います。NISTではプライバシーフレームワークも公表されていると思います。フレームワーク等を上手く活用するためにどういった対応を検討すれば良いのでしょうか?
Pamela:ありがとうございます。NISTのサイバーセキュリティフレームワークはサイバーセキュリティやプライバシー対応を行うために効果的です。私が所属しているNIST GCTCではリスクを前提にした設計を行うためのフレームワークを準備しています。
(動画:The NIST Privacy Framework)
前のテーマでアセットインベントリーについて話しましたが、多くの組織内でサイバーセキュリティやプライバシーについての対応を考え始めるようになりつつあります。
スマートシティの場合は、自治体としての機能について考えることが必要です。例えば、曖昧に表現されるスマートシティとは一体何かを定義することも必要ですし、スマートシティと呼ばれる複雑な枠組みの中で、サイバーセキュリティフレームワークを活用することが必要であると思います。
このような課題に対して、新しい動きも始まっているので紹介したいと思います。現在はNISTが発表したサイバーセキュリティフレームワークをスマートシティで活用するだけでなく、スマートシティでのサイバーセキュリティとプライバシーについての証明書制度の設計に関する議論も始まっています。
今後詳細が発表されると思うので、アップデートがあればお伝えしたいと思います。現在検討されている制度は私の同僚であるシラキュース大学のLee McKnight教授と一緒に進めています。 私がフレームワークを設計するために行っている活動では、対象を幅広く捉える “ワンサイズフィッツオール” の考え方を取り入れています。“ワンサイズフィッツオール” という言葉を聞いたことがありますか?
NIST CSF以外のフレームワークを活用しようと考えた際に、組織構造に合わせて整理された考え方でフレームワークが設計されている場合は、組織構造に適した形で活用を検討する必要があります。フレームワークを活用するために、6つの基本的な段階があります。この6つの段階をどこまで組織内で浸透させていきたいかを検討する必要があります。
(動画:The Cybersecurity Framework)
さらにフレームワークを採用する場合には、どのレベルまでプライバシーとセキュリティが対策されていなければリスク要因になりうるのかも考えておく必要があります。リスク要因を適切に把握できなければ、所属するコミュニティから除外されるかもしれません。例えばドローンの安全性を考える際に、自動化することによって生まれる様々なリスクについて考えることが必要です。
最終的にサイバーセキュリティフレームワークの用途は、高度ではありますが一つのフレームワークで様々な場面に適用する設計になるのか、ユースケースごとに適用する形になるのかで変わってくると思います。
Kohei: 有難うございます。各プロジェクトの中でセキュリティ、プライバシー対策において最適な選択肢を選ぶことがより難しくなってきているように感じます。個別に対応が難しい場合は、フレームワーク通りに設計するケースがよく見られるかと思います。フレームワークを採用する場合に、どういったポイントに気を付けておくべきか教えて頂けませんか。
フレームワークの内容を読み込んで、プロジェクトで採用しようと考えても現場では上手く運用できないケースもあるかと思います。その場合には、”どのように応用すれば良いかわからない” という問いが出てくるかと思いますが、何か解決策はあるのでしょうか?フレームワークの採用を検討している方にとっては参考になる情報だと思います。
〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫