AIと教育

AIとセキュリティプラットフォーム化にともなう 社会⼈教育と研究の⽅向性 この話題のゴール • 何が変わったのか︖ - AI×セキュリティプラットフォーム • 何を教える︖ - 社会⼈教育では、ますます演習中⼼に • 何を研究する︖ - 判断（ひとの役割）をささえるための技術 1

⼩出 洋（こいで ひろし，Hiroshi Koide） 経歴 電気通信⼤学⼤学院博⼠後期課程修了 ↓ ← 1996 ⽇本原⼦⼒研究所計算科学技術推進センター ↓ ← 2001 九州⼯業⼤学⼯学部（⼾畑） ↓ ← 2003 九州⼯業⼤学情報⼯学部（飯塚） ← 2017 ↓ 九州⼤学 情報基盤研究開発センター サイバーセキュリティセンター（2017.4〜） システム情報科学府（2017.6〜） 社会貢献 (Social Contribution) ☆ SECCON実⾏委員, SECCON executive committee ☆ IPA セキュリティ・キャンプ in 本体(2024）＆福岡 ☆ 他政府の⼈材育成に関する委員、国研の評価委員、JNSAの委員等 得意分野 (My Interests) JavaOne2009 SunSPOT BOFにて Twitter @hirosk Facebook Hiroshi Koide YouTube @koide55 ☆ プログラミング, Programming ☆ サイバーセキュリティ, Cyber Security （Moving Target Defense, 脅威トレース(Simulation System of Malware and Information Systems)…) Awards ☆ IPA スーパークリエータ, IPA MITOH Super Creator ☆ JavaOne 2005 Dukeʼs Choice Award ☆ Sun Microsystems Center of Excellence 2

プラットフォーム化︓守りは「共通基盤＋⾃社最適」 ⾃社で守る （⼈⼿・個別SOC） サイバーセキュリティが「製品」から「サービス基盤」に AI Security as Utility これからはプラットフォーム（機械）で守る プラットフォームで守る （クラウドSOC・AI） • SOC/ログ基盤/脅威情報/AIによる分析が「共通基盤」化 • 便利だし有⽤だが、丸投げまでは無理 • ⼤切なのは、設定と運⽤、最後の意思決定 ＞ Microsoft Sentinel プラットフォーム AWS GuardDuty （共通基盤） Google Chronicle MISP / ISAC • ますます↑を教育で扱う必要がでてくる • これからは「機械（プラットフォーム）にうまくやらせる」時代へ • ⾃分たちの組織に最適化するだけではなく「共有基盤」で組織全体 のレジリエンスを⾼めることが⼤事 3

何が変わったのか︓攻撃も防御もAIで⾼速化 社会の⼤きな変化 • 18世紀後半︓産業⾰命 →ひとの「⾝体労働」を機械が代替 • 21世紀︓AI⾰命 →ひとの「知的労働」を機械が代替 これを⼈類史上最⼤級の産業⾰命と捉える向きもある ひとが頑張れる前提が崩れた（速度・規模・⾃動化） • サイバー攻撃︓世界中の脆弱性情報＋探索・侵⼊・横展開の⾃動化 • 防御︓検知・対応も⾃動化が前提 ＞「ひとががんばる」では追いつかない • しかし、誤検知・⾒逃し・説明不能が残る 4

ひとの役割︓作業→判断（責任は消えない） AIが代わってくれるのは（頭脳）作業 ＞残るのは「判断責任」 • ⾃動化で確かに「作業」はなくなる • しかし判断は残る︓停める・続ける・公表・取引 • 必要な能⼒︓ 状況把握→誤検知･⾒逃し･ブラックボックス性 • 「ひと」の役割は変わる︓作業 → 判断 5

⼤学が「教える内容を決めて良い」理由 ⼤学にないもの • 指導要領・教員免許 ⼤学にあるもの • 何を教えてもよい⾃由 • 時代に合わせて「教える内容を更新する責務」 ＞ • 社会がAIプラットフォームで変わろうとする時代 • 教える内容が昔のままではいけない • 何を教えるか︖何を捨てるか︖演習をどう設計するか︖ 6

社会⼈の学びに必要な条件 社会⼈教育の設計原理︓コミュニティ×演習 「教える→学ぶ」より「持ち寄ってお互いを鍛える」 ＞ • サイバーセキュリティは総合戦 • すべてを網羅している講師は存在しない • 受講⽣の社会⼈としての経験が資産 （みんなが先⽣。相互に学習） 社会⼈の学びはGive&Take! • 座学よりも演習。議論で腹落ち • 「みんなでつくる学びの場」＝「コミュニティ」ともに育成 サーバ・クライアントではなくピア・ツー・ピア 7

必須コンテンツは三段階で 1. 全員向け基礎 ＞業務・リスク・優先順位 2. 中核･マネジメント向け実践 ＞演習で判断できる⼈材 3. 将来に向けたAIへの布⽯ ＞AIの限界・新しいリスク・ガバナンス 8

演習1 脅威モデリング 基盤をつかいこなす「設計⼒」 ＞まもるべきものを⾔語化して守り抜く • アセット/データフロー/依存関係を可視化 • 脅威→対策→残ったリスク→優先順位 • 緩和戦略の策定と実施 • 成果︓要件・設定・運⽤・継続的な更新（誰が何を監視するか） なぜ脅威モデリングが必要なの︖ ✔ 完全に安全なシステムは存在しない ✔ 攻撃者は1つの脆弱性を突けば良いが、防御側は全ての脆弱性に対応する必要がある ✔ リスクをゼロにするのは不可能だが、適切な対策で被害を最⼩限に抑えられる ✔ セキュリティ対策は 「何も対策しない」よりも「備えておく」ことが重要︕ STRIDEモデル • Spoofing（なりすまし） • Tampering（改ざん） • Repudiation（否認） • Information Disclosure（情報漏洩） • Denial of Service（サービス拒否） • Elevation of Privilege（権限昇格） 9

演習2 事業継続計画体験型演習 技術だけではなく「組織に意思決定のプロセス」に重点をおこう ＞ サイバー攻撃は「組織対応事態」とめるか/続けるかの判断訓練が核となる • 「インシデント対応＝技術」これだけでは終わらない • 対策本部︓判断・優先順位・コミュニケーション • 評価観点︓迅速さ・情報の不完全さ・責任ある説明 特徴 • 具体的かつ実際的なシナリオを⽤いて対処が必要な緊急事態を想定 • ロールプレイ形式あるいは問題解決のためのディスカッション形式で実施 • 「オリエンテーション」あるいは「⾮常訓練」というイメージ • 必要な課題を深く理解し，事前に体験することで⼼の余裕が得られる

企業の経営層に求められる視点 • もはやセキュリティは「専⾨部署任せ」にできない • ⾼度な防御は共有基盤（クラウドSOC）を活⽤すべき • 経営層が判断すべきこと • 何をまもるのか（アセット） • どこまで「共有基盤（クラウドSOC）」に任せるのか • どこで「ひと」が判断するのか • 取引先とどう連携するのか • ID/権限の設定事故をどうふせぐのか • ⼈材と仕組みへの投資判断を慎重に決めることが⼤事 11

研究の⽅向性・教育と技術 • 守りは共通基盤＋⾃社最適 • SOC等のAI基盤を業務に合わせて最適化 • ひとの役割は判断・責任 • AI判断⽀援の監査可能性（根拠や再現性） • 教育は演習中⼼ • 演習の評価軸（判断の質をどう測るか） 12