武田一城の“ITけものみち”

「人生はドラクエから学んだ」、サイバーセキュリティ研究所の偉い人が語るドラクエとセキュリティの関係

第2回:井上大介氏 - 国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所サイバーセキュリティネクサス ネクサス長

  「IT・セキュリティ業界にいる、尖った人たちを紹介したい!」――

武田一城氏。セキュリティ関連の診断サービスなどを手掛ける株式会社ラックのマーケティング戦略担当であり、NPO法人日本PostggreSQLユーザ会理事でもある。セキュリティ分野を中心とした製品・サービスの事業立ち上げに加え、複数のIT系メディアで執筆活動や講演活動も行っている

 ……そう語るのは、セキュリティ企業の雄、株式会社ラックの武田一城氏。

 氏によると、“けものみち”を歩み続けてきたような(?)尖った人たちが業界には沢山いるという。

 本連載は、

「いろいろあって今はこの業界にいる」
「業界でこんな課題・問題があったけど○○で解決した」
「こんなXXXXは○○○だ!」――

 など、それぞれが向き合っている課題や裏話、夢中になっていることについて語り尽くしてもらう企画になる。果たしてどんな話が飛び出してくるのか……?

 第2回は国立研究開発法人情報通信研究機構(NICT)の井上大介氏が登場。NICTは情報通信分野を専門とする総務省所管の公的研究機関、いわゆる国研だ。

 井上氏は、NICTサイバーセキュリティ研究所サイバーセキュリティネクサス ネクサス長として、企業・組織へのサイバー攻撃を近未来アニメ風に可視化するサイバー攻撃統合分析プラットフォーム「NIRVANA改」のほか、サイバー攻撃観測・分析システム「NICTER」、対サイバー攻撃アラートシステム「DAEDALUS」、などの研究開発に携わってきた。

 見た目の斬新さもあり、セキュリティ業界以外の一般層からも大きな反響があった。井上氏によれば、これらのセキュリティ分野に対する取り組みや考え方は、氏が小学生時代から夢中になっているドラゴンクエストシリーズ(以下、ドラクエ)と密接に関係しているという。

井上氏が携わった、対サイバー攻撃アラートシステム「DAEDALUS」の近未来アニメ風UIは斬新さから国内外で多くの反響があった

 一体どういうことなのか? セキュリティ業界における取り組みとドラクエの関係性についてうかがってみた。

夢中になりファミコンのACアダプターを母親に没収された小学生時代

――井上さんと私は同期ですが、「ドラクエI」が発売された1986年当時は小学6年生でしょうか?

[井上氏]小学6年生ですね。ファミコンが発売されたのが小学3年生のころです。発売当初のファミコンは「ベースボール」「テニス」などのシンプルなゲームが多かったです。ちなみに、父親に最初に買ってもらったカセットは「麻雀」でした。絶対父親がやりたかっただけですよね。

井上大介氏

 ドラクエが登場する前は、家にあったPC-88でウィザードリィなどのゲームをしていました。ウィザードリィは白黒のワイヤーフレームで表現される3Dダンジョンの奥に進んでいく感じのゲームで、ゲームシステムは面白いのですが一見無味乾燥で、小学生にとってはハードルが高かったですね。しかし、ドラクエIは上空から俯瞰して見るタイプの分かりやすい2Dマップで、しかもカラーということで「これはすごいのが出るぞ」と思いました。

 しかし、当時はRPGというジャンル自体が日本で広く知られていないこともあり、ドラクエIはそれほど大きな話題になりませんでした。

――私もそれまで比較的単純なシューティングやアクションゲームを遊んでばかりだったので、最初はRPGが何をもってゲームクリアになるのかという基本的なこともよく分かりませんでした。

[井上氏]ドラクエIは5000円程度だったと思うのですが、発売日までにお小遣いを積み立てて、発売当日は小学校をズル休みして近所のおもちゃ屋さんで開店前に並んでました。絶対に大行列になると思っていましたが、結局、開店時間まで誰一人並んでいませんでした(笑

 当時はアクションゲームやスポーツゲームが多かったので、武田さんのおっしゃる通り、RPGをやったことがない人にとっては「なんだこれは」という感じだったのかもしれません。

 しかし、ドラクエIの翌年に発売された「ドラクエII」から着実に人気が上がってきているのが感じられました。そして、「ドラクエIII」の発売時には大きな社会現象となり、発売当日はいたるところで大行列ができましたね。

 その後、僕が遊んできたドラクエシリーズは、PlayStationに筐体を移した「ドラクエVII」だけ、当時大学生でテレビを持っていなかったため、後から移植版をプレーしましたが、他はほぼリアルタイムでした。「ドラクエIX」では、ニンテンドーDS(以下、DS)同士でデータを自動的に送受信する「すれちがい通信」で地図を交換できるのですが、これも結構流行りましたね。

 「まさゆきの地図」というメタルキング(経験値を大量に獲得できるモンスター)ばかり出現する有名な地図があるのですが、それを受け取るために遠くまで行ったりしました。そういえばつい先日、セキュリティ業界で有名な早稲田大学の先生から「まさゆきの地図」がないか聞かれました。先生の息子さんがDSでドラクエIXを始められたそうですが、僕なら持っていそうということで相談されました。ただ、DSは妻に取り上げられてしまったので、残念ながら地図をお渡しすることはできませんでした。

――ゲーム機を取り上げられることがあるんですか? 井上さん、いい大人ですよね!?

[井上氏]そうですね。もうこれは人生の宿命として筐体を取り上げられ続けています。小学生時代はファミコンのやりすぎで母親からACアダプターを取り上げられました。それでもファミコンがしたかったので、なけなしのお小遣いを使ってACアダプターだけをおもちゃ屋さんに買いに行って、それを親にばれないように隠し持って使っていました。

 結婚してからは、ゲーム嫌いの妻に最終的にほぼ全ての筐体を取り上げられていますね。ドラクエⅨのときはDSを持ち歩いて自宅の外でプレーできましたが(それでもクリア後に取り上げられる)、「ドラクエX」では筐体が据え置き型のWiiになりました。自宅ではゲーム厳禁なので、Wii一式……「Wii Mobile」と呼んでいたのですが、かばんに入れて持ち運んで、ネットカフェなどでプレーしていました。一度、海外の空港のセキュリティチェックでかばんを開けられて、モバイルWiiが見つかって保安検査官数人に囲まれたことがありましたが、あれは恥ずかしかったですね。

全てはドラクエXのために。Wiiなど一式揃えたものを井上氏は「Wii Mobile」と呼び、外出先でプレーしていた

 ちなみに、ドラクエXはドラクエ初のMMORPGです。オープンワールドにオンラインでつながって、多人数で冒険できるようになったのが一番の特徴です。そこで、キャラクターのレベルを上げたり装備をそろえたりしながら、数年かけて「攻撃魔力」という呪文攻撃が強くなるパラーメータの世界一になりました。毎年、ゲーム内の統計データが公式サイトで公開されているのですが、数年前に攻撃魔力部門で僕のキャラクター名が掲載されています。

 2019年にはAndroid/iOSでリリースされた「ドラゴンクエストウォーク」を始めました。スマートフォンの位置情報を利用したいわゆる“位置ゲー”なので、仕事が終わったら毎日冒険に出掛けるという冒険者生活です。職場のある東京の小金井市から夜出発して、気が付いたら神奈川の海老名市ということもコロナ前にはありました。ドラゴンクエストウォークでも攻撃魔力は一応トップクラスをキープしています。

「世界一」を獲る方法を知れば応用できる、業界の若手にも伝えたこと

――ところで、自ら宿命とまでおっしゃっているドラクエがセキュリティ分野でも生きたという部分はあるのでしょうか?

[井上氏]NICTでは実践的なサイバー演習を推進する「ナショナルサイバートレーニングセンター」という部署で人材育成を行っています。その中で、25歳以下の人たちを集める若手セキュリティイノベーター育成プログラム「SecHack365」という面白い取り組みがあり、そこでトレーニングの一環として「セキュリティ研究者への道」という講演をしたのですが、中身は半分くらいドラクエの話でした。

 自宅でゲームできないというハンデを背負いながら、ドラクエXの世界でどうしたら攻撃魔力世界一になれるのかというプロセスを説明しながら、本当に伝えたかったのは、「世界一を獲ると見える景色が違うこと、そして世界一の獲り方が分かると、その考え方は他の分野にも応用できる」ということでした。特に、学生のトレイニーの方々には、学生のうちにどんな些細な分野でもいいので世界一になってみよう、とお勧めしました。そういう意味では、僕はドラクエから人生を学んだと言えます。

――DAEDALUSもNIRVANAもそうした考え方が生かされたのでしょうか?

[井上氏]2012年に発表したときは、特に尖ったものを作ろうと思ったわけではありませんでした。当時、NICTで作り上げていたサイバー攻撃の検知とアラートの仕組みを、一般の方々に理解してもらうのが非常に難しかったので、リアルタイムにサイバー攻撃とアラート発報の様子を3Dで可視化したらどうだろうと思って始めたのです。

DAEDALUSやNIRVANAなど、サイバー攻撃の検知とアラートの仕組みを特徴的なUIで可視化して話題になった。過去記事『NICT、サイバー攻撃の状況を近未来アニメ風に可視化する「NIRVANA改」を展示』参照

 DAEDALUSの特徴的なUIについても、ファミコンなどのゲームのインターフェースで慣れ親しんできたイメージを統合すると、自然とあのようなデザインになりました。公表後は海外でも話題になりましたが、「俺たちの知っている日本が帰ってきた!」というコメントがあったのが印象に残っています。

――そのコメントは私も拝見しました。サイバーセキュリティの分野では、なかなか日本が世界をリードする機会は無いのですが、その稀有な例のひとつだと思います。

 作った僕たち自身は全く意識していませんでしたが、世界から見るとDAEDALUSは非常に日本的に見える。これはギガデイン(ドラクエの雷系呪文)を受けたような衝撃的な体験でした。その後に生まれたNIRVANA改は、日本的なデザインというイメージを最大限生かそうと意識して作りました。

中小企業のセキュリティ対策は「勇者」がいない状態だ

――話を変えますが、最近セキュリティ業界で注目していることはなんでしょうか。ゲームに関連して言うと、カプコンなどがランサムウェアによる不正アクセス攻撃を受けて個人情報の流出が問題になりました。

[井上氏]日本の産業を標的としたとき、ゲーム産業の経済規模は大きいので、攻撃者にとっては狙い目なのだと思います。標的型ランサムウェアのような金銭目的以外にも、ゲームサーバーがダウンするようなケースでは、プレーヤーが報復目的でサーバーにDDoS攻撃を仕掛けることもあり、被害の発生原因はさまざまだと思います。

――大企業であれば、専任のセキュリティ担当などを置くこともできて、適切な対策を講じることはできます。しかし、この業界全体の課題でもありますが、中小企業の場合は頭が痛いところですよね?

[井上氏]中小企業のセキュリティ対策については、ドラクエで例えるなら勇者がいない状態です。ビジネス規模が大きい企業であれば自社内にSOCやCSIRTが設置でき、いざという時の勇者として組織を守ってくれますが、町工場のような中小企業を守るための対策については世界中で頭を悩ませる問題になっています。

――中小企業には勇者がいないというのは、なかなか秀逸な例えですね。私も以前RPGに学ぶセキュリティの記事を書いたことがあります。その際はセキュリティエンジニアを「賢者」に例えて、すぐになれない上級職という位置付けでセキュリティ人材がなかなか増えない現状を表現しました。

[井上氏]ドラクエなら“町”という単位で防壁を作って守っていますが、現実世界ではなかなかそうもいかず、特に中小企業ではコストや手間を抑えた対策が必要になります。

 大企業は自社情報の保護の観点からセキュリティ製品をその企業内で完結するように稼働させるケースが多いですが、中小企業の場合「データはある程度見ていいから守ってほしい」というアプローチもあるのではと思います。そういった同意を得られた企業を互助会的に保護し、安価に対策や情報共有ができる仕組みが必要だと考えています。中小企業ならではの守り方があるのではないかと思っています。

海外のセキュリティ技術に頼りすぎ?日本が抱えるセキュリティ自給率の低さを克服するための仕組みを

――日本市場における国産のものはセキュリティ対策分野だけでなく、IT全体でもこの20~30年間で落ち込んでいます。しかも、世界における日本市場が占めるシェアも落ちている関係から、海外ベンダーが日本市場特有の状況に対応してくれないことが多くなっています。

[井上氏]日本では海外のセキュリティ技術を導入することが主流になっていますが、検知ロジックの詳細は不明のまま、ブラックボックスで守られているような状態です。国産の技術で守らなければ、もし開発元の海外企業から販売や提供を止められると何もできなくなってしまいます。

 実際、検知ロジックについて海外のベンダーに問い合わせても返事が来るまで数週間かかることも珍しくなく、それだけ待たされても「機微情報にあたるため開示することはできない」とだけ言われてしまうことも多々あります。また、国産のセキュリティ技術が普及しないことで、国内の情報が海外に流れ、海外で分析・生成された脅威情報を高額で購入するというアンバランスな状態となっており、長期的に見ても良ろしくない状態です。

 実データが海外企業に流れてしまっているため、国内で起こっているサイバー攻撃に関する実データも集まらず、研究開発を進めることができないため、新たな技術を作れず国産の技術が普及しないという負のスパイラルに陥っています。

 過度に海外のセキュリティ技術に依存する状態を避けるためにも、国内に技術の研究開発能力や検知ロジックのコアを持っているべきだと思います。

――世の中全体としては大きな課題と認識されていませんが、絶望的な状況になる前に少しずつ是正していかなくてはならないと思いますね。

[井上氏]NICTとしては、まずはリアルな攻撃データがないと日本の中で国産技術によるセキュリティ対策はできないと思っています。とはいえ、所持しているゴールド(予算)は限られていますし、勇者もたくさんいるわけではありません。その中で国研のNICTは産学官の中核拠点としてさまざまな国内組織とつながり、みんなで協力して実データの集約や脅威情報を生成・共有する仕組みができればと考えています。

伝説の武器を作る鍛冶職人の育成もいつか魔王を討伐する日を夢見て

――国産技術によるセキュリティ対策を推進するために、NICTで取り組んでいることはあるのでしょうか?

[井上氏]NICTではみんなで実データを大量に集めて解析をしながら、日本のセキュリティ能力の向上を図りたいと考えています。そのため、勇者パーティを育成する仕組みとして「CYNEX」(サイバーセキュリティネクサス)という組織を2021年4月に立ち上げました。伝説の武器を作る鍛冶職人のような人材もそこで育成できればと考えています。

勇者パーティを育成する仕組みとして立ち上げた「CYNEX」

 ドラクエIでは勇者1人だけで冒険を進めていきますが、ドラクエIIからは仲間を探してパーティーを作るところが楽しみの一つになっています。現実世界においてもチームビルディングの楽しさにつながるところがあります。

――セキュリティ対策もドラクエのパーティーのように勇者や戦士だけでなく、僧侶や魔法使いなどのバランスが必要なんですね!

[井上氏]セキュリティ業界には尖った人がたくさんいます。例えば、マルウェア解析が大得意な人、パケットの気持ちが分かる人、フォレンジックの専門家、OSINT収集マニア、などなど。ただ、個々の力だけでなく、チームとして動かないと実現できないものがあります。

 ドラクエの世界って主人公は勇者ですよね。でも、勇者は戦士より力が弱く、魔法使いよりも呪文の威力は低く、僧侶ほど回復力もない、正直中途半端な存在です。ただし、勇者は魔王を倒すという強いモチベーションを持っていて、それが仲間を引きつける原動力になっています。

 セキュリティ業界も、組織を守るというモチベーションを持ち、そこに向かってチームを束ねていかなければいけない点や、集まったスペシャリストのレベルをさらに上げながら目標に到達するというところがドラクエと共通しています。

――私も人のことは言えませんが、この業界は歴史が古くないこともあって、なかなか自由な発想をする人々が集まっていると思います。ただ、世の中の一般とはちょっと次元が違う考えをしがちなので、背景や前提条件を知らないと「頭がおかしいのでは?」という方も少なからずいらっしゃいます。

[井上氏]ドラクエの勇者も頭がちょっとおかしいです(笑)スライムと互角くらいの弱いレベルのときに、魔王を倒すという目標を持っているんですから。ただ、その高いモチベーションがあって、それに巻き込まれる仲間がいて、最後に魔王の玉座の前に到達する。これは最初に魔王討伐を言い出した勇者がいたから実現できるのです。

 勇者パーティにいい装備が揃っても、敵モンスターの方もまた強くなっていくところも似ていますね。サイバー攻撃を仕掛ける側も日々強くなるので、守る側も装備をそろえるたびに効果を試しながら試行錯誤していく必要があります。

 魔法使いと僧侶の両方の呪文を使いこなせる賢者は最初から実戦で通用するわけではなく、厳しい鍛錬が必要です。いつか魔王を討伐する日を夢見て、これからもパーティーのレベル上げや装備の充実に全力で取り組んでいきたいと思います。

――井上さん、ありがとうございました。これからもドラクエで攻撃魔力世界一を維持しながら、サイバー攻撃に負けない世の中を作っていきましょう。私もパーティーでの支援役くらいにはなれるようにがんばっていきたいと思います。