Google、NICTおよびデジタル庁と協力した取り組みを発表。「AIを活用して日本のデジタル基盤を守る」

　Japan Cybersecurity Initiativeは4月13日、シンポジウム「Japan Cybersecurity Initiative シンポジウム -AI 時代の経済安全保障とサイバーレジリエンス-」を開催。Googleが国立研究開発法人情報通信研究機構（NICT）およびデジタル庁と共同で実施している取り組みと、有識者会議レポートを発表した。

　　Japan Cybersecurity Initiativeは2025年3月に、Googleが日本政府らを巻き込み、日本社会全体のサイバーセキュリティの底上げを目的として設立したもの。

1年間の活動をまとめ、レポートを公開

Google日本法人 代表の奥山真司氏

　シンポジウム冒頭では、Google日本法人代表の奥山真司氏が登壇し、Googleが日本に向けた貢献において掲げるコンセプト「AIの力で解き放とう、日本の可能性」と、この1年間のJapan Cybersecurity Initiativeの取り組みなどを紹介した。

　Japan Cybersecurity Initiativeは「中小企業の支援」「インテリジェンス共有と専門人材育成」「産学官による有識者会議の開催」を3本柱に活動。中小企業向け無料トレーニングの開発、熊本大学と連携しての「熊本サイバーセキュリティカンファレンス」設立、といった成果を生み出した。

　そして、この日、有識者会議のまとめとなるレポート「日本社会におけるサイバーセキュリティの課題と方策」が公開された。PDFファイルを無料でダウンロードできる。

▼PDFファイル
日本社会におけるサイバーセキュリティの課題と方策

　同レポートは、第1回～第3回の有識者会議の内容をまとめたもので、テーマは「国民の意識向上」「経営者が取り組むべきサイバーセキュリティ」「サイバーセキュリティ人材のすそ野拡大」。Japan Cybersecurity Initiativeが特に注力する中小企業の視点で、経営におけるサイバーセキュリティの位置づけや人材の育成・確保などについて、参考になる情報が収録されている。

「サイバーセキュリティの3つの課題をAIが助ける」

Google プライバシー セーフティ セキュリティ担当バイス・プレジデントのロイヤル・ハンセン氏

　続いて、Googleのロイヤル・ハンセン氏（プライバシー セーフティ セキュリティ担当バイス・プレジデント）が、「AIをどのように使うか」というテーマで講演を行った。

　攻撃者が最新のAIを利用するようになり、攻撃者が発見されてからテイクダウンされるまでの平均の時間は伸び、最初の侵入から情報窃取が開始されるまでの時間は短くなっている。防御側も最新AIを活用することは必須となり、サイバーセキュリティ市場は急成長しているが、日本のセキュリティ人材は、低めに見積もって17万人不足しているという。

　特に中小企業の人材不足が問題であり、これは政府やGoogleの問題というよりは、社会全体の問題であると指摘するハンセン氏は、ポーランドで聞いたというエピソードを紹介した。

　ポーランドでは、物流を従業員5人ぐらいの中小企業が担う。規模の小さな会社が十分なセキュリティを整えることは難しい、攻撃が成功すればサプライチェーン全体が大きな打撃を受ける。そうしたターゲットへの攻撃が政府機関などよりもずっと容易であることは当然攻撃者も認識している。だから、サプライチェーン全体を防衛するという意識が必要だ。

　そのための3つの課題を「AIが助ける」という。

　まず、脅威の発見（Threat）。広く使われている「VirusTotal」という脅威発見ツールがあるが、これの発見能力はAIにより70％向上し、脅威の同定能力は300％向上した。

　次に、労力の問題（Toil）。Googleが持つSOC（Security Operation Center）は、AIにより生産性が70％向上しており、まだ伸びしろがある。

　最後に、人材の問題（Talent）。これはAIが2つの方法で助ける。1つは、セキュア・バイ・デザインによるAI防御を組み込むことで、ひとりひとりが防御者になれる。もう1つは、AIによるトレーニング。これによって皆がセキュリティのエキスパートになれる。

Threat、Toil、Talentに関する3つの課題をAIが助ける

　「現代のサイバーセキュリティはチームスポーツであり、官も民も重要である」と、ハンセン氏は締めくくった。

AIを活用した取り組みに片山財務大臣も期待

参議院議員 財務大臣 内閣府特命担当大臣（金融）の片山さつき氏

　来賓あいさつとして、参議院議員 財務大臣 内閣府特命担当大臣（金融）の片山さつき氏が登壇した。

　金融業務を継続するためにはサイバーレジリエンスが不可欠であり、AIを活用したサイバーレジリエンス強化の取り組みへの期待を述べた片山氏は、2025年に実施した金融業界横断的なサイバーセキュリティ演習「Delta Wall 2025」や、能動的サイバー防御にも言及。「今日の議論が具体的な取り組みにつながり、日本の価値を一層高めることになることを祈る」とした。

NICT、デジタル庁と連携した取り組みで日本社会への貢献をアピール

写真左から、Google Privacy Safety Security Engagement Strategy Leadの梅谷晃宏氏、国立研究開発法人情報通信研究機構（NICT） サイバーセキュリティ研究所 研究所長の井上大介氏、デジタル庁　Chief Cloud Officerの山本教仁氏

　続いて、「AI時代のサイバーレジリエンス強化に向けた新たな取り組み」として、Googleの梅谷晃宏氏（Privacy Safety Security Engagement Strategy Lead）、NICTの井上大介氏（サイバーセキュリティ研究所 研究所長）、デジタル庁の山本教仁氏（Chief Cloud Officer）が説明を行った。

　梅谷氏ははじめに、AIによるサイバー防御の中でも、今回の取り組みは「ゼロデイ攻撃」と「開発環境への脅威」に主眼を置いたものであると説明。そのうえで、ソフトウェア開発工程の中でテストや運用などの後ろの工程でセキュリティを実装しようとすると高コストとなるが、より前の工程で組み込む「シフトレフト」によりコストを下げられると、コンセプトについても説明した。

取り組みは「ゼロデイ攻撃」と「開発環境への脅威」に主眼を置いたもの

左から始まるソフトウェア開発工程の右側でセキュリティを実装するとコストが高くなるため、より左側で組み込む「シフトレフト」でコストを抑制する

　NICTとの取り組みは「脆弱性検知AIエージェント」開発。Googleは、Geminiのほか同社のオープンソースプラットフォームである「OSS-Fuzz」「 Agent Development Kit」「SAIF（Secure AI Framework）」といった技術提供を通じて、NICTのAIセキュリティ研究センター（CREATE）が主導する脆弱性検知エージェント（いち早く脆弱性を検知し、修正等することで、ゼロデイ攻撃対策になる）によるファジング（大量のランダムな入力を行うことによるバグ検出）や、脆弱性検知技術の開発を支援した。

ファジング・脆弱性検知の概要

　デジタル庁との取り組みは、「公共サービスのソフトウェアサプライチェーン」強化。ソフトウェアの真正性を証明するオープンソースのセキュリティフレームワーク「SLSA」（Supply-chain Levels for Software Artifacts）をガバメントクラウドに導入し、中央省庁や地方公共団体向けのソフトウェア開発において、部品単位での真正性を証明可能にし、シフトレフトを実現できるようにした。

　ソフトウェアの公開直前に強制的にセキュリティチェックを行うサービスも開発中であり、今後は、NICTと協力してAIによる防御策も実装予定であるとした。

ソフトウェアの部品に脆弱性が混入することによるサプライチェーンリスクと、SLSAなどを用いた対策の概要

　2つの取り組みについて「合わせ技で使うと安全性が高まり、脆弱性を取り除いた部品が、真正性を持ってユーザーに届く」と梅谷氏は解説。「Googleはオープンソースのみならず、日本社会への貢献をしたいと考えている」として、説明を終えた。

両者のツールのソフトウェア開発工程における位置づけ