--- title: セキュリティ・エンジニアの活きる道 tags: #サイバーセキュリティ #sechack365 #生成ai #キャリア author: [園田道夫](https://www.docswell.com/user/sonodam) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/K74WVR45E1.jpg?width=480 description: 国立高専機構のK-SECのTop of Topsで喋ったネタです。 published: March 26, 26 canonical: https://www.docswell.com/s/sonodam/5MQ1RX-2026-03-26-185455 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/K74WVR45E1.jpg) K-SEC TOP OF TOPS講習会2025 セキュリティエンジニアの 活きる道 園田道夫 # Page. 2 ![Page Image](https://bcdn.docswell.com/page/LJ1Y3Q42EG.jpg) Who am I ? • 園田道夫(@sonodam) • 国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター センター長 • https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://rpci.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ企画、 講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • GOFU株式会社取締役 • 中央大学理工学研究所客員研究員 • 九州大学非常勤講師 2 # Page. 3 ![Page Image](https://bcdn.docswell.com/page/GJWGPMX272.jpg) Who am I ? • 総務省サイバーセキュリティタスクフォース構成員 • https://www.soumu.go.jp/main_sosiki/kenkyu/cybersecurity_taskforce/index.html • 厚生労働省医療機関向けサイバーセキュリティ研修委員会委員 • NCOサイバーセキュリティ人材フレームワークに関する検討会構成員 • https://www.cyber.go.jp/council/csjinzai/index.html • SECCON実行委員(事務局長)&ファウンダー • https://www.seccon.jp/2023/seccon/executivecommittee.html • SecHack365主催・トレーナー • https://sechack365.nict.go.jp/ 3 # Page. 4 ![Page Image](https://bcdn.docswell.com/page/4EZLKQ6473.jpg) Who am I ? • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 情報危機管理コンテスト審査委員(サイバー犯罪に関する白浜シンポジウム) • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催&プログラム(ドリンク)委員 • http://ja.avtokyo.org/ • 日本セキュリティ大賞審査委員 • https://security-awards.jp/ 4 # Page. 5 ![Page Image](https://bcdn.docswell.com/page/Y76WQ62G7V.jpg) Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo 2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html • 2024年、情報通信功績賞、情報通信月間推進協議会会長表彰 • https://www.jtgkn.jp/wordpress/wp-content/uploads/2024/07/2024hyoushou.pdf • 2025年、Cybersecurity Award 人財育成賞 • https://www.gmo.jp/security/awards/2025/ 5 # Page. 6 ![Page Image](https://bcdn.docswell.com/page/G75MR62X74.jpg) 主な関係コンテンツ • 監訳:「ブラウザハック」,「ファジング」,「ハニーネットプロジェクト」,「実践パケッ ト解析第一版」,「犯罪捜査技術を活用したソフトウエア開発技法」 • 翻訳:「実用SSH第二版」,「暗号技術大全」,「 Snort2.0侵入検知」 • 著作:「アクセス探偵IHARA 」, 「Winnyはなぜ破られたのか」, 「アクセスガール明日香危機一髪」,「企業情報ネットワークの保護管理」他 • Web連載:「にわか管理者奮闘記シリーズ」 • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • 「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns • サイバーセキュリティの草の根コミュニティ系勉強会 • https://qiita.com/sonodam/items/2b3add928a7d1ae0f657 • センター長 園田道夫のセキュリティコラム • https://nct.nict.go.jp/column/ • 2025年に日本で出版された情報セキュリティ、サイバーセキュリティ関連書籍 • https://qiita.com/sonodam/items/97b14db690c99ecfbbb1 6 # Page. 7 ![Page Image](https://bcdn.docswell.com/page/9J29DM4QER.jpg) 高リスク分野のための機械学習―責任ある AI構築のための実践アプローチ Patrick Hall、James Curtis、Parul Pandey著、高江洲 勲、 伊東 道明、園田 道夫、北條 孝佳、石川 太一訳 本書は、機械学習モデルがもたらす重大なリスクを軽減 し、責任あるAI運用を実現するための実践ガイドです。 特に「高リスク」な意思決定が行われる分野、たとえば 生体認証による識別、重要インフラの管理、教育、雇用、 公共および民間の必須サービス、法執行、移民および国 境管理、刑事司法、そして民主的プロセスなどにおける 事例を重視しています。本書は三部構成となっており、 第Ⅰ部では実践的なアプリケーションの観点から主要な 問題を論じ、第Ⅱ部で構造化および非構造化データの観 点からトピックをさらに深掘りし、実装上の課題や分析 手法を具体的に検討します。第Ⅲ部では現実世界の高リ スクな事例をもとに、成功のための実践的な助言を提示 します。説明可能性、安全性、バイアス、プライバシー などの課題に対し、Pythonベースの実践的ツールを活用 した具体的対策を提供し、実務者が主体的にリスクを管 理できる指針を提供します。 7 # Page. 8 ![Page Image](https://bcdn.docswell.com/page/DEY42XMYJM.jpg) 研究関係 • 数理モデル的な・・・ • 攻撃検知(分類) • 学習効果の可視化、スキルの可視化 • 設問評価(数学,CTFなど)、設問自動作成 • デマ検知 • 目grepによる攻撃検知 • 感情の定量化による詐欺自動検知 • コミュ力の可視化 • 他多数 8 # Page. 9 ![Page Image](https://bcdn.docswell.com/page/VJNY81WR78.jpg) 本編 ITやセキュリティに生成AIの大波が来ている 9 # Page. 10 ![Page Image](https://bcdn.docswell.com/page/YE9PK5XZJ3.jpg) 人材不足感 • ISC2のCybersecurity Workforce Study 2024によれば、世界の セキュリティ人材は約546万人。不足とされる数は476万人で、 年を追って増えつつある • アジアは特に多く334万人が不足 • 同調査では日本は17万人が不足となっている • 前年(2023年)の報告11万人から1年で17万人に(前年+53.8%) • ギャップの伸びとしては世界やアジアの中でも突出(調査内3位) • 人口1.3億人のメキシコの人材数は52.1万人、不足数は11.3万人(前年 マイナス2.1%) https://www.isc2.org/Insights/2024/09/Employers-Must-Act-Cybersecurity-Workforce-Growth-Stalls-asSkills-Gaps-Widen 10 # Page. 11 ![Page Image](https://bcdn.docswell.com/page/GE8DRY9YED.jpg) 試算:日本の学校の人材輩出力 • 2021年の数字で日本の大学におけるセキュリティを専門とする先生 の研究室は約150 • https://github.com/akirakanaoka/seclablist • 国立高等専門学校機構(高専機構)では拠点校2校、協力校8校をはじめ、 他の高専41校にもセキュリティが大なり小なり組み込まれている • 他に国立以外の高専(公立、私立)や専門学校も • (参考:進路ネットによると65校。 https://shingakunet.com/searchList/ksl_daitan/jl_kd010/jm_kc120/js _k1080/ ) • これらを合わせると年間多くて3000人程度か(約57年) • (ちなみに中国は高等教育機関626校が学科設置 • https://j.people.com.cn/n3/2024/0914/c94475-20219825.html ) 11 # Page. 12 ![Page Image](https://bcdn.docswell.com/page/LELMK4W97R.jpg) 膨大な需給ギャップをどう埋めるのか? # Page. 13 ![Page Image](https://bcdn.docswell.com/page/4JMY2K9VJW.jpg) 変化球?宣伝w?SecHack365 • NICTナショナルサイバートレーニングセンターが主催するU-25 人材育成事業SecHack365は、1年間のハッカソン • ものづくり+セキュリティ • セキュリティ人材の力を拡大するツールとか研究、コンテンツ ができあがると、人材需給ギャップ解消の大きな力になるかも • 言語OS脆弱性探索ツール演習環境小説芸人アヒルSNS詐欺検知など多数 • https://sechack365.nict.go.jp/ • 過去9年分成果物をこちらで 公開中 13 # Page. 14 ![Page Image](https://bcdn.docswell.com/page/PJR9MXGW79.jpg) 一方アメリカでは • ITエンジニアが余り始めている(!) • https://www.bloomberg.com/jp/news/articles/2025-0514/SW9MHIT1UM0W00 • https://type.jp/et/feature/30493/ • みんながITエンジニアを目指した • コロナ禍でITの需要爆増を想定し大量雇用した • コロナ禍が終わり、AIが急速台頭してきて大量レイオフ • セキュリティエンジニアも一部その流れに巻き込まれている • →ホワイトカラーはもう終わりだ説まで出ているアメリカは、 さすが最先端の社会実験国家(笑) 14 # Page. 15 ![Page Image](https://bcdn.docswell.com/page/PEXQV6XVJX.jpg) 日本にも人余りの大波が来るのか? • 「日本はITエンジニア数が前年比6.9%増と大きく伸長し、世 界4位を維持しています。しかし、その供給源となる「IT分野 の卒業者数」の平均伸び率は2.2%にとどまり、G7で最下位と いう結果になりました」 • https://corporate.resocia.jp/info/news/20260127_itreort_17 • 日本のIT人材数は154万人、対学校需給ギャップが大きく、他 業種からの転換がキーになっている • 人口当たりの数ではアメリカと同じでエンジニア数上位10国 の中で韓国独英仏に次いで5番目 • ITの浸透度を考えるなら、将来的にも需要は強め 15 # Page. 16 ![Page Image](https://bcdn.docswell.com/page/3EK9Q1W5ED.jpg) アメリカから連れてくれば・・・ I’m not quite sure what to do • 西海岸では年収1000万円で貧乏、 という超物価高で見えない実質 サラリー • 日本に住みたいか? • 住環境? • チャレンジ? • 他の厚遇国と比べてどうか? • ・・・そもそも日本でIT仕事の口が 存在し続けるのか? 16 # Page. 17 ![Page Image](https://bcdn.docswell.com/page/L73WPQ1175.jpg) 生成AIの大波が来ている • 長年の人手不足から採用コストが上がり続けているため、企業 はAI活用に本気度が高い • 生成AIがシステム丸ごと開発 NTTデータ、IT人材不足に抜本策 • https://www.nikkei.com/article/DGXZQOUC254OB0V21C25A2000000/ • 日立製作所、グループの全28万人が生成AIを利用し知見を蓄積 し顧客に提供 • https://dcross.impress.co.jp/docs/usecase/004577.html 17 # Page. 18 ![Page Image](https://bcdn.docswell.com/page/87DKL9XKJG.jpg) システム開発側面での活用 • プログラミング言語を介さずにシステムを開発する能力が飛躍的 に向上 • 当たり前にClaude Code使い倒せる • ただしエキスパートに限る • 世の中には他に、使い勝手はかなり異なるが慣れれば使いやすい ノーコード/ローコードツールもある • プログラミング言語の習得+αな長年の鍛錬が必須ではなくなる? 18 # Page. 19 ![Page Image](https://bcdn.docswell.com/page/VJPK2ZP3E8.jpg) AIが生み出す脆弱性? • Security Vulnerabilities in AI-Generated Code: A Large-Scale Analysis of Public GitHub Repositories • https://arxiv.org/abs/2510.26103 • 87.9%安全。pythonは高い脆弱性率(16.18%-18.50%)、(参考値 JavaScript:8.66%-8.99%、TypeScript:2.50%-7.14%) • Our new report: AI code creates 1.7x more problems • https://www.coderabbit.ai/ja/blog/state-of-ai-vs-human-code-generationreport • 人間が書くコードよりパスワード処理の誤りや不適切な参照処理が多い • こうした弱点を知り、バグを作り込まないような工夫要 • そして、それができるのはエキスパート 19 # Page. 20 ![Page Image](https://bcdn.docswell.com/page/2EVVDW2NEQ.jpg) AIを使って脆弱性を発見する • ペンテスター10名 vs. LLM(Stanford Study: AI Agent ARTEMIS Beats 9/10 Human Pen Testers in Vulnerability Discovery) • https://www.linkedin.com/posts/nasser-bostan-55736b4_comparing-ai-agents-to-cybersecurity-professionalsactivity-7405101732776554496-X0HD • 「Claude Code Security」が登場、コード内の脆弱性をスキャンして修正提案もしてく れる • https://gigazine.net/news/20260224-claude-code-security/ • AIはセキュリティエンジニアになれるのか? ~GitHub公式AIセキュリティエージェント徹底検証~ • https://zenn.dev/aeyesec/articles/4efb507de930a5 • AIが脆弱性を自動修正する時代へ:OpenAI Codex Securityの衝撃 • https://qiita.com/sarubot/items/05922d10754f0ce90fd7 • OpenAI Codex Security Scanned 1.2 Million Commits and Found 10,561 High-Severity Issues • 「AIがソースコードの脆弱性を自動発見し、検証まで行った上で修正案まで提示する――OpenAIが新たに発表 した「Codex Security」が公開リポジトリ120万件以上を解析し、数千件の重大バグを発見した。」 • https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html 20 # Page. 21 ![Page Image](https://bcdn.docswell.com/page/57GLYDR5EL.jpg) 脆弱性を探すコンテスト • PWN2OWN • https://gmo-cybersecurity.com/blog/pwn2own-ireland-2025report/ • https://www.automotiveworld.jp/tokyo/jajp/conference/pwn2own.html • 天府杯 • https://www.tianfucup.com/ • https://forest.watch.impress.co.jp/docs/news/1288055.html • 中国のハッキング・コンテスト「優秀作」、ウイグル弾圧に利用 • https://www.technologyreview.jp/s/243173/how-china-turned-a-prize-winningiphone-hack-against-the-uyghurs/ 21 # Page. 22 ![Page Image](https://bcdn.docswell.com/page/4EQYM1VLJP.jpg) トレンドマイクロ配下のZero Day Initiative主催で、年数回世界各地で開催されるガチの脆弱性探しコンテスト。 2025ベルリンでは初めてAIインフラがテーマになり、賞金総額は100万ドルを超えた(107万ドル)。主役は個人研 究者から企業チーム、研究機関からexploitを専門とする企業に世代交代しつつ、しのぎを削っている。日本でも 毎年1月にautomotiveが開催されている。今は欧州とアジア(台湾、韓国、シンガポール)が強い時代。 22 写真:https://www.trendmicro.com/ja_jp/research/25/e/pwn2own-berlin-2025.htmlより引用 # Page. 23 ![Page Image](https://bcdn.docswell.com/page/KJ4WVRM571.jpg) 23 # Page. 24 ![Page Image](https://bcdn.docswell.com/page/LE1Y3Q827G.jpg) 脆弱性を自動的に探す(萌芽) • 2016年DARPA主催Cyber Grand Challenge(CGC) • Angr(http://angr.io/) • AFL(American fuzzy lop)(http://lcamtuf.coredump.cx/afl/) • Driller(AFLの拡張)(https://github.com/shellphish/driller) • MAYHEM(記事:CMU Spinoff Wins $2 Million in Cyber Attack Challenge(https://www.cmu.edu/news/stories/archives/2016/august/ cyber-attack-challenge-winner.html)) • SECCONもやってる(た) • https://2018.seccon.jp/2018/07/seccon-2018-x-cedec-challenge.html • https://www.atmarkit.co.jp/ait/articles/1311/26/news033.html • 中国でもやってたけど・・・ 24 # Page. 25 ![Page Image](https://bcdn.docswell.com/page/GEWGPMZ2J2.jpg) https://scan.netsecurity.ne.jp/article/img/2016/08/08/38817/20695.htmlより引用 25 # Page. 26 ![Page Image](https://bcdn.docswell.com/page/47ZLKQ14J3.jpg) https://scan.netsecurity.ne.jp/article/img/2016/08/08/38817/20695.htmlより引用 26 # Page. 27 ![Page Image](https://bcdn.docswell.com/page/YJ6WQ6LGJV.jpg) コンテストの系譜 • DEF CON 33、AIxCC • https://ascii.jp/elem/000/004/153/4153955/ • https://ledge.ai/articles/ai_cyber_challenge • https://aicyberchallenge.com/final-competiton/ • DARPA、AIサイバー・チャレンジの優勝者を発表 • https://crds.jst.go.jp/dw/20250908/2025090843024/ • https://therecord.media/darpa-ai-code-competition-winner-def-con • 競技は54百万行のコードに埋め込まれた模擬脆弱性をAIシステムで検出・修正する 内容で、全体で54件中43件(77%)の修正に成功。ツールは4つ即時公開、他も順次 • AIxCCからの成果:OSS-CRS: Liberating AIxCC Cyber Reasoning Systems for Real-World Open-Source Security • https://arxiv.org/abs/2603.08566v1 • https://note.com/3no_anisama/n/nd3262dded81d(日本語ブログ解説) 27 # Page. 28 ![Page Image](https://bcdn.docswell.com/page/GJ5MR61XJ4.jpg) AIが不得意そうな領域も・・・ • ChatGPT4のo3を使ってLinuxの ksmbdゼロデイ脆弱性を見つけた、 というブログ • https://sean.heelan.io/2025/0 5/22/how-i-used-o3-to-findcve-2025-37899-a-remotezeroday-vulnerability-in-thelinux-kernels-smbimplementation/ • ゼロデイ(!) illustrated by ChatGPT with prompt: Ms. Vulnerability 28 # Page. 29 ![Page Image](https://bcdn.docswell.com/page/9E29DM1Q7R.jpg) ベンチマーキング中にゼロデイ発見 • 脆弱性探索を自動化含めて研究している著者が自ら発見したksmbd の探索結果をベンチマークに使ってo3の探索力を試してみた →Benchmarking o3 using CVE-2025-37778 • 38778は著者自身が手動で見つけたケルベロス脆弱性 • use after freeというタイプの脆弱性(解放されたメモリを参照するメ モリ破壊の脆弱性)で、ログオフ時の認証処理にメモリ管理の問題が あることが原因 • 特徴的なのは探索にはとても複雑なネットワークプロトコル経由の 認証機構への理解が必要。 o3はその道筋を辿って新たなゼロデイ(CVE-2025-37899)を発見した • →今後この研究成果がエキスパートによって社会実装されれば・・・ 29 # Page. 30 ![Page Image](https://bcdn.docswell.com/page/D7Y42XZYEM.jpg) AI脆弱性探索能力にはベンチマークも • AIは脆弱性を発見できるのか?スタンフォード大の研究者らがAI エージェントの能力を評価 • 「実際のソフトウェアを対象に攻撃と防御の両面からAIの能力を測定する世界 初のフレームワーク「BountyBench」について解説します。」 • https://thinkit.co.jp/article/38421 • このあたりを整えていくのもエキスパート • 年間約45000件発見される脆弱性を大幅に減らせるか? • 犯罪者たちの物量作戦、またはソフトウエアやデータの物量そのも のに負け続けてきたこの図式を変えられるか • それらの仕組みを社会実装していくのもエキスパート 30 # Page. 31 ![Page Image](https://bcdn.docswell.com/page/VENY813RJ8.jpg) 問題:脆弱性探索力が向上すると? • 善人と悪人、両方の脆弱性探索力が同等、かつ爆発的に向上す ると、社会は良くなる?悪くなる? • 脆弱性の数が激減する vs. 悪人が利活用する →どちらの社会的インパクトが大きい? 31 # Page. 32 ![Page Image](https://bcdn.docswell.com/page/Y79PK59ZE3.jpg) そんなに良いことばかりではない(笑) • .env(2026年3月、Claude Codeを利用した開発中にプロンプトイン ジェクション攻撃を受け、Google広告のMCCアカウントが乗っ取 られるというインシデントが報告されました) • https://qiita.com/NF0000/items/6743216583b66168ec12 • 「株式会社プロパゲートの松岡さんの動画で、MCCアカウント (複数のGoogle広告アカウントを一元管理するための、管理用アカ ウント)が乗っ取られ、勝手に広告を出されて5,800万円分の広告 費が無駄に配信されてしまった事例が紹介されました。」 • https://peccolis.com/mcc-security/ • Claude Code での開発における認証情報管理: .env をやめて Bitwarden CLI を使うようにした • https://qiita.com/AllegroMoltoV/items/74fce57d602991857107 32 # Page. 33 ![Page Image](https://bcdn.docswell.com/page/G78DRYDY7D.jpg) 問題:これらの事象は何を示唆するのか? • Claude Codeに重大な脆弱性 設定ファイル経由でRCEやAPIキー窃取の恐れ • https://www.itmedia.co.jp/enterprise/articles/2602/28/news013.html • Claude Codeにバックドア入りOSSを渡したら、何の疑いもな く実装した • https://qiita.com/NF0000/items/66510f959b1c22f011a7 • メールやサーバ権限などを与えた自律AIによる実環境2週間の 大暴走実録、「情報漏洩」「DoS状態」「リソース大量消費」 など11の失態発覚 • https://www.techno-edge.net/article/2026/03/14/4925.html 33 # Page. 34 ![Page Image](https://bcdn.docswell.com/page/L7LMK4M9JR.jpg) まだまだ未成熟 • AI同士が“核兵器が使える戦争ゲーム”で対決→核の発射率は 95%、英国の研究者が報告 • https://www.itmedia.co.jp/aiplus/articles/2603/09/news022.html • OpenAIの論文:Stress Testing Deliberative Alignment for AntiScheming Training • https://www.medianama.com/wpcontent/uploads/2025/09/stress_testing_antischeming.pdf • 「そういう行動をとることを前提としたテストにおいて、o3は13%、 o4-miniは8.7%の確率で『見つかりにくい形でルールを破る行動』を する」「監視時は誠実に振る舞い、監視が外れると欺瞞行動が11%増え る」「安全訓練によって欺瞞がより巧妙化する」 34 # Page. 35 ![Page Image](https://bcdn.docswell.com/page/4EMY2KYVEW.jpg) 自己保身から脅迫とな(笑) • 【恐怖】AIエージェントが社員 を脅迫した実話|2026年最大の セキュリティ事件を徹底解説 • https://qiita.com/emi_ndk/ite ms/1534e672ead63226db91 • →まだまだガイドラインや法律 の整備が必要だし、AIの説明可 能性(Explainable AI:XAI)の追求 と実装が社会として必要 35 # Page. 36 ![Page Image](https://bcdn.docswell.com/page/PER9MX9WJ9.jpg) 今後のITまわりの状況 • 人材充足状況はAI活用度によって大きく変わるが、それ以上に 大きな変化は、(おそらく)システム開発=ユーザー企業の内製 化の流れが加速すること • AIによってシステム構築のハードルが劇的に下がる • 人間に残されるのは、ビジネスロジックを考えたり改良した りする部分 • SaaSばかりか、システムインテグレーター(SIer)も危うい? • AIを使いこなすSIer(=低コスト)のみが生き残るチャンスがある?? • ビジネスロジックを良く知るインサイダー(その組織の中の人、 業界の人)がシステムを作る力を手に入れたら・・・ 36 # Page. 37 ![Page Image](https://bcdn.docswell.com/page/P7XQV6QVEX.jpg) 今後のセキュリティまわりの状況 • 悪人の物量作戦や自ら作り出すデータの物量に負けている分野 では、生成AIやAgentic AIのもたらす恩恵が大きい • マルウェア解析、フォレンジック的な解析、ログ解析など • AIセキュリティのCoWorker、国内初の自律型動的マルウェア解析AIプ ラットフォーム「Blue Agent for マルウェア解析」を発表。AIが解析 を進め、人は判断に集中 • https://prtimes.jp/main/html/rd/p/000000019.000156001.html • 例えばOpenClaw的な何かは、セキュリティ領域にも大きな恩 恵をもたらすのでは? • 軽便な実装が実現すればSOC的なタスクも • 取扱注意ポイントが社会的に整理できれば実用性が高まる • https://forbesjapan.com/articles/detail/93270 37 # Page. 38 ![Page Image](https://bcdn.docswell.com/page/37K9Q1957D.jpg) 判断できる人? • もの(システム)づくりの場は、脆弱性探索含め劇的に変化する • セキュリティ分野は大量データの解析まではできるが、それ を材料として判断するのはまだまだ人間 • AIは正解の無い領域は不得意 • 判断できる人に必要なのは、(疑似的にでも)経験値と知見と、 さまざまな修羅場、あるいは現場に横たわる非言語的な部分 • =エキスパート力 エキスパートって単語 何個目だよ(笑)! 38 # Page. 39 ![Page Image](https://bcdn.docswell.com/page/LJ3WPQW1J5.jpg) エキスパートのジレンマ • エキスパートになるには経験によって得られる非言語化領域の 感覚が必要 • その経験をする場を、AIによって奪われるジレンマ • 既存のデータを学習しているAIは得意領域ですら完璧ではない ので、人間(エキスパート)によるチェックや補完が必要 • ってもしかしてこれトリレンマか(笑) • →内製の系譜であればまだしも伝承の可能性があるが 39 # Page. 40 ![Page Image](https://bcdn.docswell.com/page/8JDKL9KKEG.jpg) エキスパート: 生成AIのおかげで 生産性爆上げだ! 若手技術者: 生成AIのおかげで 成長する機会が無い(泣) AIが作ったものの品質を チェックできる エキスパート不足 illustrated by ChatGPT # Page. 41 ![Page Image](https://bcdn.docswell.com/page/VEPK2ZK378.jpg) ドイツ、ライプツィヒ、CCCにて なぜかロケットが出て きてるけど、イノベー ティブな象徴ってこと なのかな(笑) 41 # Page. 42 ![Page Image](https://bcdn.docswell.com/page/27VVDWVN7Q.jpg) セキュリティのエキスパート? • システム開発的IT現場とは異なり、セキュリティの場合実経験 をがんがん積み上げられることがそもそも稀な領域もある • そんな領域でのエキスパート育成のために、疑似的に経験値を 上げるための仕組みを互助会的に多数用意している • CTFの攻防戦、やられサイト的なもの、Hack the Box的なもの、シ ミュレーションゲーム、ロールプレイ型演習など • =手が必要なのにエキスパートが育たない、というトリレンマ には陥らないで済みそう(少なくとも当面は(笑)) 42 # Page. 43 ![Page Image](https://bcdn.docswell.com/page/5JGLYDL57L.jpg) セキュリティ仕事は謎解き • 謎解きが多い領域=正解が無いので、解かれたことがこれま で一度も無いか、極小回であるならば、人間がAIの力を借りて 謎解きしていくことになる • 解かれた謎を確率モデルに学ばせることは、これもまたいろ いろと難しい(笑) • →AI浸透後も謎解きが必要な領域は人間の担当であり続けるが、 カバーすべきパターンが数学的に少ない領域については、(エ キスパートがチェック&補完するにせよ)AIが仕事の大半をこ なすようになるだろう こういう見方で戦略的に キャリアパスを考えて欲しい 43 # Page. 44 ![Page Image](https://bcdn.docswell.com/page/47QYM1YLEP.jpg) セキュリティが相対するのはシステムだけではない • システムがいくら堅固になっても、人間という弱点は残る • ここの切実さがセキュリティ以外のITという領域とは異なる • 人間を改善する、or人間+システムを改善するアイディアが必要 • 例:人間を直接的に行動変容させるアイディア • 例:行動変容できない領域を補うシステムのアイディア • 例:人間の認知のバグを補正、もしくは補完するアイディア • 内製でなくても挑める部分=ユニークビジネスになり得る • &確率モデルにはユニークなアイディアを生み出す力を実装できない 44 # Page. 45 ![Page Image](https://bcdn.docswell.com/page/KE4WVRW5J1.jpg) 組み合わせは強力なアイディア力 • のひとつ(笑) • できるだけ突飛な組み合わせ、異質な組み合わせを考えられるよう に自分とその周囲を整える • 「組み合わせ」の異質さの距離のために自分の「幅」を拡げ続ける また • 1日100個、くだらなさを厭わないアイディア量産 • 組み合わせが効く • 例:セキュリティ+カレー • 例:セキュリティ+植物 ロケット (笑) • 王道、邪道、バカ • 散歩し、木々の緑(重なり合うフラクタル図形)を 見て、風呂に入ってアイディアを量産する習慣 • 課題について考え続ける習慣 45 # Page. 46 ![Page Image](https://bcdn.docswell.com/page/L71Y3QY2JG.jpg) ドイツ、ライプツィヒ、CCCにて 46 # Page. 47 ![Page Image](https://bcdn.docswell.com/page/G7WGPMG2E2.jpg) 心理学者 サイモン・バロン=コーエンのES理論 • E=Empathizing(共感)=人の感情・意図・社会的文脈を理解する能力 • 相手が何を感じているか読み取る • 空気を読む • 人間関係の微妙なニュアンスを理解する • S=Systemizing(システム化)=仕組み・規則・因果関係を理解する 能力。「Aが起きるとBが起きる」というルールを探す思考 • パターン発見が得意 • 因果関係を強く求める • ルールがある世界を好む • 構造化された問題に強い • 仕組みを作ることが好き • →プログラミング的な、システムを解像度高く想像できる能力そのもの 47 # Page. 48 ![Page Image](https://bcdn.docswell.com/page/4JZLKQL4E3.jpg) Systemizing能力を伸ばす • =プログラミング関連の教育 対象年齢 推奨ツール 特徴と効果 ルート、Botley、Timbo スクリーンフリー。カードやボタン、あるいは自分の動き (モーション)でロボットを動かし、「手順」と「結果」 の因果関係を体で覚えます。 Scratch, Springin' ビジュアルプログラミング。 ブロックを繋げてゲームを作 る中で、「条件分岐(もし〜なら)」や「ループ(繰り返 し)」の概念を直感的に学びます。 高学年 (10~13歳) Minecraft, Sphero 創造的ハック。 既存のゲーム(マイクラ)に自動化の仕組 みを組み込んだり、球体ロボットを複雑に制御したりして、 現実世界とプログラムを繋げます。 中学生以上 Swift Playgrounds, AIエ ディタ テキストコーディングへの移行。 AIチャットボットを「ペ アプログラマー」として使い、対話しながらエラーを解決 する「デバッグの作法」を習得します。 幼児 (4~7歳) 低学年 (7~10歳) 48 # Page. 49 ![Page Image](https://bcdn.docswell.com/page/YE6WQ6WGEV.jpg) Systemizing能力を伸ばす • =プログラミング関連の教育 対象年齢 推奨ツール 特徴と効果 ルート、Botley、Timbo スクリーンフリー。カードやボタン、あるいは自分の動き (モーション)でロボットを動かし、「手順」と「結果」 の因果関係を体で覚えます。 Scratch, Springin' ビジュアルプログラミング。 ブロックを繋げてゲームを作 る中で、「条件分岐(もし〜なら)」や「ループ(繰り返 し)」の概念を直感的に学びます。 高学年 (10~13歳) Minecraft, Sphero 創造的ハック。 既存のゲーム(マイクラ)に自動化の仕組 みを組み込んだり、球体ロボットを複雑に制御したりして、 現実世界とプログラムを繋げます。 中学生以上 Swift Playgrounds, AIエ ディタ テキストコーディングへの移行。 AIチャットボットを「ペ アプログラマー」として使い、対話しながらエラーを解決 する「デバッグの作法」を習得します。 幼児 (4~7歳) 低学年 (7~10歳) 49 # Page. 50 ![Page Image](https://bcdn.docswell.com/page/GE5MR6MXE4.jpg) アイディア+システム創造力+セキュリティ • SecHack365前に、そこに来るべき資質を持った若者たちをど う発掘し、誘導するか=SecHack0(セックハッコー) • 教材やワークショップツールを開発 • アイディア+システム化+セキュリティ(脅威モデリング)の ワークショップ(出張授業) • 30年後の未来の道具を考え、 • 脅威モデリングの思考法は そのセキュリティを考える ビジネス+セキュリティ 50 # Page. 51 ![Page Image](https://bcdn.docswell.com/page/9729DM9QJR.jpg) 51 # Page. 52 ![Page Image](https://bcdn.docswell.com/page/DJY42X4Y7M.jpg) そして言葉の力 • =言葉を使ったプログラミング能力 • 日本語もしくは英語を使って、いろいろ言い換えたりアプ ローチを変えたりしながら、生成AIに創造的な指示を行う能力 • プログラミングと同様に比喩力や語彙、言い回しに関する知識 が必要 • 傍証:優れたプログラマーには読書家が多い • 言葉のプロが書いた本(コンテンツ)を読もう! 52 # Page. 53 ![Page Image](https://bcdn.docswell.com/page/V7NY81YRE8.jpg) 53 # Page. 54 ![Page Image](https://bcdn.docswell.com/page/YJ9PK5PZ73.jpg) 54 # Page. 55 ![Page Image](https://bcdn.docswell.com/page/GJ8DRYXYJD.jpg) 55 # Page. 56 ![Page Image](https://bcdn.docswell.com/page/LJLMK489ER.jpg) まとめ • IT業界激震中。日本の人手不足は未だ深刻だがアメリカは余ってる • 日本のセキュリティ業界の人材不足数は増え続けている • システム開発面では、AIの存在感がすごいことになってる • 脆弱性探索のAI実装がすごいことになってる • 今こそ企業は内製化をめざせる • 人間はビジネスロジックをAIに教え込む側に回る • そんな時代に求められる人材像は、経験値含むエキスパート力、人 間をサポートするアイディア、システム化思考、言葉の力 • セキュリティはエキスパートになりやすい? 56 # Page. 57 ![Page Image](https://bcdn.docswell.com/page/47MY2K6V7W.jpg) 最後に このセッションで紹介したおもしろそうなことは すでに誰かがやり倒している ユニークなおもしろさを見出すのはそれほど難しい だからこそおもしろい # Page. 58 ![Page Image](https://bcdn.docswell.com/page/P7R9MXPWE9.jpg) PostScript 58 # Page. 59 ![Page Image](https://bcdn.docswell.com/page/PJXQV63V7X.jpg) # Page. 60 ![Page Image](https://bcdn.docswell.com/page/3JK9Q1Y5JD.jpg) まとめ再掲しつつQ&A Time • IT業界激震中。日本の人手不足は未だ深刻だがアメリカは余ってる • 日本のセキュリティ業界の人材不足数は増え続けている • システム開発面では、AIの存在感がすごいことになってる • 脆弱性探索のAI実装がすごいことになってる • 今こそ企業は内製化をめざせる • 人間はビジネスロジックをAIに教え込む側に回る • そんな時代に求められる人材像は、経験値含むエキスパート力、人 間をサポートするアイディア、システム化思考、言葉の力 • セキュリティはエキスパートになりやすい? 60