ラック西本氏が語る、生成AIで急激に進化するデジタル時代に求められる姿勢とは：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

セキュリティ人材不足が叫ばれているが、AIによる守備対象の爆発に対応するためにも、サイバーセキュリティ側も全力でAIに取り組む必要がある。

[高橋睦美，ITmedia]

　西本逸郎氏はセキュリティ企業として知られるラックの代表取締役社長として、また政府にさまざまな提言を行い、業界団体を率いる立場として、長年にわたって日本のサイバーセキュリティ戦線の最前線に立ち続けてきた。2025年2月に社長を退任して技術顧問に就任した同氏の目に、昨今の状況はどのように見えているのだろうか。「サイバーセキュリティの未来と挑戦」と題する同氏の講演から、これから注目すべきポイントを探ってみよう。

人の心理につけ込む「詐欺」の増加に対し、3層のハッキングを考慮した対策を

ラック 技術顧問 西本逸郎氏

　昨今のサイバーセキュリティのトレンドにおいて西本氏が気になっている点は5つあるという。

　1つ目は「窃盗・強盗と詐欺」だ。

　サイバーの世界において猛威を振るっているランサムウェアは、「強盗」に例えることができる。感染すると業務が止まり、取引先を巻き込み、再開まで数週間から数カ月かかってしまう。窃取情報を攻撃者に公開され、それをさらに拡散する輩も横行する。こうしたさまざまな被害に加え、何より「組織を支えてくれている人たちの心が折れる」ことが最大の被害だとした。

　一方、日本サイバー犯罪対策センター（JC3）のまとめによると、2024年の犯罪全体の被害総額は急増して約4000億円に達した。このうち投資詐欺やロマンス詐欺といった「詐欺」による被害が76％を占めている。

　特筆すべきは、ネットを利用した詐欺の増加だ。詐欺によって強盗や窃盗の3倍もの被害が出ており、そのうちインターネットを利用した詐欺の被害額が約2000億円弱に達し、犯罪被害全体の47％を占めるなど無視できない規模になっている。

　この傾向を踏まえて西本氏は、今後は、金銭目体での詐欺だけでなく、人をそそのかしたり、恫喝し、内部関係者自身にスパイ活動などを実行させる手口の増加が予想されるとした。振り込め詐欺において、銀行など周囲の人が必死に止めても被害者が振込を強行してしまうように、被害者が自分の意思で加担する形を取り、犯罪者は直接手を下さない。このため防止は困難を極めるのではないだろうか。

　こうした手口への対策は、いわゆる外部脅威をイメージしたハッキング対策ではおぼつかなく、ゼロトラストでも困難だ。そもそも、詐欺を人の心理を遠隔操作する行為と捉えていくと、いわゆる「内部脅威対策」が重要になってくるとした。

　詐欺には、強盗や窃盗のように金銭を取られた時点で犯罪が成立するわけではない、という特徴がある。「いつかは返す」と言っている限り犯罪は成立しにくく、結果として犯罪のハードルが低くなっているのではないかと西本氏は指摘した。またプロセスを見ると、まず小さな成功体験を積ませて信頼関係を構築し、不安や期待、焦りなどにつけ込み、相手の感情に入り込んでいく。いわば詐欺師にとっては「感情労働」の一つと言える。

　こうした特徴を踏まえて西本氏は「詐欺はある意味、人の心に対するハッキングと言えます。また、法律や税制といった制度の不備を狙う制度のハッキングも深刻になってきています」と述べ、従来のテクノロジーのハッキングとノーム（制度）のハッキング、そしてヒューマン、人の感情のハッキングという3層のハッキングモデルを考慮した対策が求められると話している。

安全保障の文脈でも高まる「人の認知空間」の存在

　西本氏が2番目に挙げたのは、「安全保障とサイバーセキュリティ」の関係についてだ。

　村井純氏が著書「インターネット文明」の中で「インターネットはもはや酸素だ」と述べているとおり、今や行政、軍事、警察、社会インフラ、企業、そして宗教やイデオロギー、犯罪者に至るまでがインターネットに依存している。「インターネットは、あれば便利というものではなく、なくてはならない存在になったと言えます」（西本氏）

　そして、世界中のありとあらゆるものが依存する、唯一無二のサイバースペースであるインターネットをどう守るかという安全保障の観点で、日本は世界に価値を示し、ブランドを最大化できる可能性があるとした。

　安全保障という文脈では、陸、海、空という3つの戦場に続いて宇宙が第4の戦場と定義され、サイバースペースは「第5の戦場」と呼ばれることが多い。さらに、最近では人の認知空間が「第6戦場」と呼ばれることもあるという。

　第6の空間は、まさに先に西本氏が触れた詐欺のターゲットであり、人の心に入り込むという意味で、企業の営業活動やマーケティングと共通する部分もある。サイバースペースを通して、世論戦や心理戦、法律戦によって人を支配し、認知空間をいかに取っていくかの争いが、第6の戦場と言われている。

　なお、西本氏がこうした論点について議論していたところ、ある若手社員から「全ての戦いは認知に通ずるというのであれば、認知空間は第6の戦場と言うよりも、むしろゼロの戦場ではないか」という指摘を受け、まさに膝を打ったそうだ。

　そして今日本では、安全保障に関連してアクティブサイバーディフェンス（ACD）関連の法令が整備され、政策が進み始めている。西本氏はこの動きに対し、第5の戦場、言い換えればテクノロジーの側面のみにフォーカスが当たっており、「制度のハッキングや心、認知のハッキングについてはあまり議論されていません。もう一歩進んでもいいのではないでしょうか」とコメントした。

増加する子どもの犯罪やネットならではのコミュニケーションにどう向き合うか

　3つ目のポイントとして挙げたのは「子どもの犯罪」だ。

　最近報道された不正アクセス事件では、異なる地域に住む複数の子どもがオンラインゲームのチャットを通して知り合い、Telegramで連絡をとりながら、モバイル回線の不正契約を行って金銭を手に入れていた。保護者が把握できないところで交流関係が結ばれ、銀行口座やクレジットカードを作り、時には暗号資産やオンラインカジノなどを用いてサイバー空間で金銭を稼ぐ子どもたちがどんどん出てきている。

　西本氏は「テクノロジーの進歩がこうした状況も作り出しています。こうした子どもたちがトクリュウなどに巻き込まれたり、自身が手を染めたりする前に、いかに教育し、マネージメントを行うかが重要な観点です」と述べ、被害者となる子どもと加害者になってしまう子どもの両方を意識し、ケアしていくべきではないかとした。

　4つ目のポイントは「コミュニケーション」だが、正論の扱い方やディープフェイクをはじめとする偽情報の見極めなど、さまざまなポイントがあるという。特に生成AIの悪用によって多様な偽情報が増えているが、「高速・大量処理になれば人間の関与は不可能になります。妥当性を担保するところでもおそらくAIの出番になるでしょう」と西本氏は指摘した。

　そしてインターネットならではのコミュニケーションのポイントとして、「相隣関係」を挙げた。隣人同士というのはとかくトラブルが起こりやすいものだが、インターネットの登場によって、世界中のあらゆる人と仮想的な相隣関係が築かれることになった。

　この結果、SNSへのちょっとした書き込みから摩擦が生まれることも珍しくないし、町内会のようなご近所付き合いが求められることもある。そして、こうした関係が、リアルにも影響を及ぼしかねないことに注意が必要だという。

　また、人間の本質の一つでもある「悪意の発露」が、ネットによって加速している側面にも留意が必要だとした。ネットが怒りや不快感といった悪意の拡散装置として機能し、アルゴリズムがその拡散を手助けしてしまう状況だ。デマやフェイク、印象操作が、悪意を持って世論を意図的に動かす「武器」にもなりかねない。

　感情が暴走しやすく、何が真実なのかの見極めが困難になり、信頼が揺るがされており、国政や外交にまで影響を及ぼしかねない危険性に対し注意が必要だとした。

組織のパーパスを意識しながら「アンストラクチャー」な事態への対応を

　5番目のポイントは「ストラクチャーとアンストラクチャー」だ。

　これらは、西本氏の好むラグビーでよく使われる用語だ。ストラクチャーはいわゆる「セットプレイ」で、想定通りのポジショニングが取れた状態を指し、アンストラクチャーは攻撃側にとっても防御側にとっても想定外の、混沌とした状態を指す。そして「真に強いチームでは、何が起きたのかよくわからないアンストラクチャーな状況で素晴らしいプレイが飛び出します」という。

　西本氏はラグビーだけでなく、セキュリティにおいても、いかにアンストラクチャーな状態に適切に対応し、強さを発揮できるかがポイントになるとした。