攻撃者優位の時代に問われる「使命感」 GMO Flatt Security&GMOサイバーセキュリティ byイエラエが描く、AI時代のセキュリティ構想(後編)ーEngineering Journey

日本全体のサイバーセキュリティを底上げする「GMOサイバー攻撃 ネットde診断」と、トップ層であるエンジニアのセキュリティをさらに引き上げる「Takumi byGMO」。アプローチの異なるプロダクトをそれぞれ提供していますが、開発に対する姿勢など多くの視点で共通項があることが分かりました。
後編では、AIがもたらした仕事の変化や今後の展望、AI時代のエンジニアに求められる資質などについて熱く語っていただきました。
それぞれのプロダクトがめざす方向性や設計思想、互いのプロダクトに抱く思いなどについての議論がなされた前編もぜひご覧ください!

前編はこちらから

「とてつもなく賢いエージェント」が実現する大転換

———AIの台頭で、セキュリティエンジニア(ホワイトハッカー)の仕事の中身も変わってきているのではないでしょうか。

米内

大きく変わってきている部分はありますね。これまでは1社1社を人力で支援していたのですが、今は重要な部分だけをセキュリティエンジニアの手に残しつつ、人間のリソースをAIエージェントやプロダクトの精度改善に回してレバレッジをかけているんです。

今は「とてつもなく賢いエージェント」を1つ作れば、それがみんなを助けてくれるという時代です。AIを自分たちの手で作ることで、これまでの「1対1」の支援から「1対多」への支援を提供できるという大転換が、今まさに起きています。

市川

ネットde診断」のほうは、まだプロダクトの中にAIを入れていないんです。プロダクトの性質的に、「なぜこの結果が出たんですか」と聞かれたとき、「AIのブレです」とは言えませんから。

一方で、シグネチャ生成などの部分にはAIを活用しています。人間が担保すべき領域や、構造・働き方そのものは変わらないものの、スピードは局所的に上がっていますね。人間のレビューに流れ込んでくる量が増えているように感じますが、それでも「何かタスクを任せて、それを待たないと次に進めない」という状況はだいぶ少なくなってきましたね。

大西

情報処理の部分は、すでにAIに食われ始めていますよね。だからこそ、人間に求められる役割はユーザーのビジネスやドメインに「寄り添う」方向に向かっているというのが僕の感覚です。

米内

AIで仕事が変わったというよりも、元々“セキュリティエンジニアの知見がレバレッジする”構造のプロダクトだった。その上で、中身がさらに速くなった、ということですよね。

市川

そういうことですね。最終的にアウトプットを評価するのは人間で、倫理観や責任感が欠かせません。ただ、AIがレビューする時代になれば、人間がアウトプットを出すこと自体はなくなるかもしれない。そして、そこが整備され始めると、今度はその流れについていける人間自体も、少なくなっていくのかもしれない。そういう未来も、頭の片隅には置いています。

攻撃者優位の時代に問われる、ホワイトハッカーの「使命感」

———AIは攻撃側にも使われますが、守り手に求められるものも変わってきているのでしょうか。

米内

Claude Mythosのような高度なAIが取り上げられることも増えましたが、実は現行のモデルでも、十分に攻撃は可能なんです。だからこそ、現代のセキュリティエンジニアには「高い使命感」が求められますね。

世界がこれだけ大変な状況にある今、「守ろう」という気持ちがないと、正直ヤバいと思うんです。バグバウンティもパンクするような時代ですから、セキュリティエンジニアは、かなりの使命感がないと続けられない仕事になってきています。

また、今後はAIの進化に伴ってスクリプトキディ(専門的なスキルを持たない攻撃者)も強力なものになってくるでしょうから、こうした使命感に加えて「しっかり守るぞ」という気負いや責任感もより一層必要になるでしょうね。

市川

セキュリティって、昔から攻撃者優位じゃないですか。防御側はすべてを守らないといけないのに、攻撃者は1点の穴を見つければいい。今は攻撃者が転用できるAIツールがどんどん出てきているのに、防御側が転用できるツールはまだ少ないんです。この非対称性がさらに拡大している以上、しばらくは波乱の時代が続くと思います。

大西

みんな「助けたい」と思っているんじゃないですかね?私がホスティング事業者にいたときも、サーバーがマルウェアに侵入されて、不正なアクセスログがずらりと残っているという現場を何度も見てきたんで…。根底には助けたいという思いがあると信じているんですが。

米内

CTFの面白さから入った学生さんのように、入り口がそうじゃない人もいますよね。使命感って、やりながらつかんでいくものだと思うんですよ。だからこそ、そういうモチベーションが社会的にもっと強くなっていくといいなと感じます。

———新しい攻撃が次々に登場する中で、終わらない「いたちごっこ」にどう向き合えばいいのでしょうか。

市川

攻撃の元を止めるのは、当面は無理だと思っています。侵入された後に、被害を最小限に食い止められる組織構造をつくるという「入られる前提」で考えるべきなんです。どこか1箇所で食い止めるという発想ではもはや守りきれないので、組織の中にゲートウェイのような観測ポイントを増やして、取れる手数を増やしておかないといけない。

「侵入経路となる入口を1箇所止めます」というやり方は、もはや成立していないといえるでしょうね。

米内

イエラエってプロダクトに限らず、トータルで守ろうとしてますよね。SOCもあればEDRもあって、本当にいろいろなことをやってるなと。うちも似た思想で、いたちごっこを終わらせようという考えではなく、極力影響が少なくなるように速く止めたいんです。

だからこそ、僕らが貢献したいのは「スピード」なんですよ。攻撃者はこの情報を抜いたら次はこうする、という仕組みを複数設計したうえで仕掛けてくるので、人が「では1週間後に対応します」と動いているようでは間に合わない。そこをAIエージェントでどう支援できるかというのが、自分たちの担えるシーンだと思っています。

市川

入口を諦める、という話ではないんですよ。ただ、どんなに頑張っても入られることはあるので、入られたときに致命的にならないよう、「中の守り」を強くしましょうということなんです。

リスクを可視化し、安全な環境下で資産を守る

———今後、それぞれどんな機能や未来を実現していきたいですか。

米内

何かありますか?

市川

いやもう、たくさんありますよ(笑)。本当にやりたいことしかない。

米内

そうですよね(笑)。

市川

1番やりたいのは「棚卸し機能」の拡充です。たとえば「会社のネットワークに直接つながってるRDPのマシンが、こんなところに放置されてました」といった、忘れられた資産こそが攻撃の入口になるんです。ASMは守る対象を知らないと守れないので、「誰も管理していない、存在すら忘れられている」というものが危ないんですよ。

放置されたところから攻撃者は入ってくるので、まずは認識できる状態にすることがスタートラインだと思っています。

大西

資産管理で守る対象を把握して、リスクや優先度を可視化していくという基本ができていない組織も多いんです。

市川

もう1つ、トリアージのコストももっと減らしていきたいですね。我々も今のプロダクトをスケールさせようとしているのですが、アドバイザーはどうしても「人間」が必要です。AIである程度レポートを要約してからアドバイザーが脆弱性への対処法を示せれば、たとえそれが7〜8割の精度であっても、助かるユーザーはすごく多いはずなんです。

米内

もうこれ100時間ぐらい喋れますよ。Takumiのほうは、いわゆるバイブコーディングをする人も含めて、エンジニアが「何も考えなくて済む」機能群を作りたいですね。野望としては、Claude CodeやCodexのようなコーディングエージェントを起動し、アプリのホスティングまで行える環境を丸ごと提供したいなと。

仕事に使う普段使いの端末でエージェントを動かしている…という状況下では、1度攻撃を受けた際の被害がより大きくなってしまうんですよね。コーディングエージェント経由でブラウザセッションまでハックされる可能性もあるので、エージェントを動かせる安全な外部環境を提案するような形ですね。

バイブコーディングにしても、真に安全な環境ってないですよね。みんなが暴走する機関車を走らせているような感覚がありますが、不便なVDI時代に戻りたい人もいないでしょう。エージェントを使ったコーディングがデフォルトとなった時代にちゃんと合った形で、開発者体験を損なわせないような環境を実現したいです。

市川

他人に仕事をお願いする時、自分のPCで作業させるわけにはいきませんよね。絶対に新しいパソコンやアカウントを与えるわけじゃないですか。それなのに、「AIに人間と同じレベルのアウトプットを求める」という場面では、AIに自分のPCやその環境をそのまま渡していますよね。自分の家のカギを渡しているようなものなので、ここはそろそろ考えを改めた方がいいと思うんです。

米内

ですよね。AIがテストまで含めてドライブし、人間は最終レビューなどを行うだけという「主従が入れ替わる」瞬間が来つつあります。AIには自由な環境を与えたい一方、自分の家で騒がせたくはない。トップ層を引き上げるTakumiとしては、このジレンマをなんとか解きたいんです。

若干先鋭的ではありますが、そういうものに手を出していきたいですね。正直、実装したい機能はめっちゃあるんですよ!土日も眠れないぐらいワクワクしちゃって。

大西

結局のところ、ベストプラクティスを当たり前に実践できている組織ってほとんどないんですよね。中小企業だとセキュリティのセの字もなかったりしますし、「頑張って作ったアプリをやっとシステム化して、やっとリリースできました」というところで本当に精一杯なんですよね。

ベストプラクティスを常識にしていく手助けを、プロダクトを介して我々がお手伝いできたらいいなというのはすごく思いますね。 それだけでも、日本を守るというところにもつながると思いますし。

市川

ネットde診断が、日本中の資産を把握できている状態にしたいですね。

米内

二人が日本全体を守っている様子をイメージしたいです。

発信者にまわり、コミュニティ全体で荒波を乗り越える

———最後に、開発者・経営者の方へメッセージをお願いします。

米内

こういうの、1番苦手かも…。

大西

じゃあ私から。セキュリティ対策において「当たり前」と言われていることが実はできていない企業が本当に多いので、まずは相談してほしいです。「何から始めればいいか分からない」のであればネットde診断を入り口にしてもらってもいいですし、イエラエは幅広いラインナップでサービス提供しているので、何か悩み事や困りごとがあればお声がけいただきたいなと。

米内

それは…ちょっと教科書的な回答ですね(笑)。

大西

バレたか(笑)。でも本当にそう思ってるんですよ!価格面でいうと、「あんなに安価にうちのプロダクトを使えるのはすごくお得だよね」ぐらいの気持ちで提供してます。

米内

僕は、ぜひ「作り手側」に回ってほしいと思っています。いろいろなセキュリティインシデントが発生し、データ不正が頻繁に出る時代だからこそ、どこか1社の製品が「正解」を示せるとはまったく思わないんですよね。この難しい時代を生き抜くためには、動画やイベント、OSSの公開などで情報を発信し、コミュニティの総力を集めることが本当に重要だと感じるんです。

「Guard」機能を無料で提供しているのも、こういう思想があるからこそです。セキュリティ業界に対して少しでもできることをしたいと思いますし、そのなかでTakumiに興味を持っていただいたら導入いただきたいなと。

大西

実は、Xで米内さん自らユーザーに声をかけて、「少しお話しさせてください」とやっているのを見ていて。影ながら見ていて、ユーザーとの向き合い方がすごく素敵だなと思っていたんです。

米内

めちゃめちゃエゴサしてます(笑)。みんなが困っているときに何もしないのは自分の正義じゃないので。

大西

その哲学は、イエラエとまったく同じだなと感じました。会社は違っても、根っこは通じているんだなと。

市川

開発者の方ほど、少しでも興味を持ったらぜひセキュリティ側に回ってきてほしいです。ソフトウェア業界は人間の集合知でここまで発展してきたので、セキュリティももうちょっと頑張れると思ってて。

セキュリティをやりたい開発者は喉から手が出るほど欲しいので、一緒にこの業界を救ってほしいと思っています。

まとめ

大きな盛り上がりを見せた2社対談は、時間があっという間に過ぎていきました。3人ともまだまだ語り足りないという熱を持っていましたが、この熱意の大元である「人を助けたいという気持ち」が、製品開発やサービス展開の土台となっていることを改めて確認できた対談となりました。

AIを攻撃者側も使用するようになったことで、今や日本企業にとってのサイバー攻撃は、業種・業態や規模を問わず「誰もが遭遇する脅威」になりつつあります。こうした時代を集合知で乗り越えるという姿勢は、多くの企業やホワイトハッカー、エンジニアに通ずるのではないでしょうか。

GMOインターネットグループは、これからも高い使命感を持つホワイトハッカーと共に、「すべての人に安心な未来」を実現するプロダクトを提供いたします!

関連記事はこちら

ブログの著者欄

技術広報チーム

GMOインターネットグループ株式会社

イベント活動やSNSを通じ、開発者向けにGMOインターネットグループの製品・サービス情報を発信中

採用情報

関連記事

KEYWORD

TAG

もっとタグを見る

採用情報

SNS FOLLOW

GMOインターネットグループのSNSをフォローして最新情報をチェック