インタビュー取材にご協力いただいた方
寺田 真敏(てらだ まさと)氏 東京電機大学 未来科学部 情報メディア学科・教授
1986年(株)日立製作所入社。1998年にHitachi Incident Response Teamを立ち上げ、2002年よりJPCERT/CC専門委員、2004年より(独)情報処理推進機構非常勤研究員、2007年より中央大学大学院兼任講師、日本シーサート協議会副運営委員長、情報処理学会コンピュータセキュリティ研究会主査、情報処理学会教育担当理事などを歴任。2019年より現職、博士(工学)。
サイバー攻撃が巧妙化し、私たちの暮らしや企業の情報が日々危険にさらされる現代。そんな中、攻撃と防御の両方を極め、倫理観と自制心を備えた「デジタル武道家」が存在します。東京電機大学・寺田真敏教授が語るホワイトハッカーの役割は、システムの安全を守るだけでなく、企業や社会全体の危機を未然に防ぐことです。そのためには攻撃者の視点を理解し、能動的に防御策を講じる必要があります。彼らの活動は、まさに未来の安全なデジタル社会を支える「サイバーセキュリティ道」といえるでしょう。
社会を守る「攻防の達人」 ホワイトハッカーの役割とは?
―― 今、なぜホワイトハッカーが必要なのでしょうか?
寺田先生:情報システムは進化とともに複雑さを増しています。それに伴い、サイバー攻撃も高度化し、手口も巧妙になっています。こうした状況に対応するには、進化する情報システムや技術を理解し、それに応じたセキュリティ対策を考えられることが求められます。同時に、攻撃手法の変化を把握し、その脅威に対応できるセキュリティを考えなくてはなりません。そうした理由からホワイトハッカーが必要とされるようになりました。
―― ホワイトハッカーとは?
寺田先生:現代のサイバーセキュリティは、従来のように防御だけに重点を置くのではなく、攻撃者の視点や手法を理解することが重要になっています。これは「彼を知り己を知れば百戦殆うからず」という言葉が示すように、攻撃と防御の両方を身につけた武道家の立場に近いものです。さらに武道には「礼に始まり、礼に終わる」という教えがあるように、技術を磨くだけでなく、礼節を重んじ、力を乱用しない姿勢を学ぶことも求められます。同じように、ホワイトハッカーもまた「攻撃と防御を兼ね備えた武道家の視点」を持ち、その技術を社会の発展に役立てるとともに、技術者としての倫理と自制心を備えた存在であるべきだといえるでしょう。
―― ホワイトハッカーが、社会においてどのような役割を担っているとお考えですか?
寺田先生:ホワイトハッカーは「サイバーセキュリティ道」を修めた専門家であり、社会の中で多様な役割を担っています。ソフトウェアやシステムの開発においては、脆弱性を作り込まず、攻撃に強い仕組みを設計することが必要です。また、ペネトレーションテスト※1や後述するレッドチームによって公開前に欠陥を見つけ、インシデントを未然に防ぐとともに、既存システムを実際の攻撃に近い形で評価し、対策の有効性を検証します。さらに、万が一被害が発生した場合には、デジタルフォレンジック調査を通じて攻撃経路や被害範囲を特定し、迅速な復旧を支援します。加えて、組織内の人々に攻撃者の視点を伝え、セキュリティの重要性を教育することも大切な役割です。このように、ホワイトハッカーは開発から予防、監視、対応、教育まで幅広い領域で社会を支えています。
※1ペネトレーションテスト: ネットワーク、PC・サーバーやシステムの脆弱性を検証するテスト手法の1つ
攻撃者視点を取り入れた実践的サイバー防御の浸透
―― 企業や組織は、どのようなタイミングでホワイトハッカーの力を必要とすることが多いのでしょうか?具体的な事例があればお聞かせください。
寺田先生:近年のサイバーセキュリティ教育では、単に「対策を行う」ことを教えるのではなく、攻撃者の視点を理解させる取り組みが広がっています。「どの経路から侵入できるのか」「人を騙せばアカウントを奪えるのか」といった具体的なシナリオを通じて、サービス停止など現実的なリスクを実感させる教育です。
大手企業では、攻撃を担う「レッドチーム」と防御を担う「ブルーチーム」を組織し、互いにシミュレーションを行うことで、実践的な対策を強化する動きが見られます。このレッドチーム演習の概念は、数年前から徐々に普及し始めていて、特に大規模なネットワークやシステムを持つ企業にとっては、システムの維持・管理に欠かせない取り組みです。
―― 企業が現実的なリスクを意識するようになった背景を教えてください。
寺田先生:大きな転機となったのは、2015年の日本年金機構の情報流出事件です。約125万件の年金情報が外部流出したんですね。それ以前は「防御を強化する」という考え方が主流で、攻撃者目線でセキュリティを考える発想はほとんどありませんでした。その後、ランサムウェアの被害が拡大し、企業が現実的な脅威に直面するなかで、2018〜2020年頃から「オフェンシブセキュリティ(攻撃を踏まえた防御)」や「能動的サイバー防御」といった考え方が浸透し始めました。これらは攻撃を正当化するものではなく、先手を打って相手の行動を抑止する防御戦略です。
その結果、ここ5年ほどでペネトレーションテストやレッドチーム演習を積極的に導入する企業が増えました。攻撃者の視点を取り入れたセキュリティ対策はようやく定着してきているようです。教育や運用も単なる防御から、より現実に即した実践的な取り組みへと進化しているといえるでしょう。
ホワイトハッカー活用のタイミングと企業のセキュリティ戦略
―― 企業や組織は、どのようなタイミングでホワイトハッカーの力を必要とすることが多いのでしょうか?
寺田先生:ホワイトハッカーは、システムやサービスの開発、運用、インシデント発生後など、あらゆる場面で必要です。新規サービスやシステム開発の際には、ホワイトハッカーによる監査やチェックが欠かせず、インシデント発生後にも適切な対応や分析に力を発揮します。具体的には、企業が自社システムに対して事前にペネトレーションテストを行い、脆弱性を発見して修正するケースが一般的ですね。社内で脆弱性を発見させる仕組みを作ったり、社員に自由にアクセスさせて問題を探させたりする取り組みもあります。外部の力を使う場合もありますが、継続的に運用するのは難しいですね。まずは社内で仕組みを回す方が現実的です。
―― 企業が安全にサーバーを運用するにはどうすればいいのでしょうか?
寺田先生:サーバー運用については、自社でオンプレミス※3環境を構築するよりも、SaaS※2を利用した方が安全性や効率の面で有利な場合が多いですね。もちろん、オンプレミスの方が向く場合もあります。どちらが絶対に安全というわけではなく、サービスの信頼性や運用体制を見極めて使い分けることが必要です。このように、ホワイトハッカーの活用や運用方法は、企業規模や体制、目的に応じて柔軟に考えることが重要ですね。
※2 SaaS(サースまたはサーズ):「Software as a Service」を略した言葉。インターネット経由でソフトウェアをサービスとして利用できる仕組みのこと
※3オンプレミス:サーバーやソフトウェアなどの情報システムを、企業や組織が自社で管理する施設内に設置し、運用する形態を指す
サプライチェーンリスクと能動的サイバー防御
―― 日本政府もサイバーセキュリティへの取り組みを強化していますが、官民連携の現状と、ホワイトハッカーの果たすべき役割についてどうお考えですか?
寺田先生:企業間の情報共有についてはIPA(独立行政法人情報処理推進機構)やJPCERT/CC※4などの公的機関が事案を集約し、横断的に展開する仕組みは一定程度機能しています。今後は国レベルでの経済安全保障の観点も絡んでくるため、新たな官民連携や体制の構築が必要です。特に、サプライチェーンを含む国際的な依存関係のリスクは、日本単独で考えるだけでは十分ではなく、海外の動向も見据えた対策が求められます。アメリカでは、重要インフラが海外システムに依存する場合の対策を明示的に示していて、国際間でも自国を守るため、システムを把握・対策することが必要とされています。
※4 JPCERT/CC:JPCERTコーディネーションセンター。インターネットのセキュリティインシデントに対応する情報提供機関
―― 能動的なサイバー防御が必要とされています。
寺田先生:経済安全保障の観点から見ると、従来の受動的なサイバー防御だけでは十分に対応できず、今後は能動的な防御や未然防止型の取り組みが不可欠となります。これまで法律や制度の制約で困難だったことも、新たな体制やアプローチによって実現可能になりつつあります。こうした取り組みは大企業にとどまらず、中小企業へも徐々に広がっていくでしょう。ホワイトハッカーの役割も、「守る」だけでなく「相手に対して積極的に行動する」という能動的な側面へとシフトしていく可能性があります。
AI時代のサイバーセキュリティ 進化する脅威と防御戦略
―― AI技術の進化は、セキュリティの防御側・攻撃側の双方に影響を与えています。AIがもたらす新たな脅威と、それをどう防ぐべきかについて、先生のお考えをお聞かせください
寺田先生:AIはサイバーセキュリティにおいて、攻撃側と防御側の両方の効率を劇的に向上させています。従来は人手で時間をかけて行っていた脆弱性の分析や攻撃シナリオの作成も、AIの活用によって短時間で可能になりました。その結果、攻撃のスピードは格段に上がっています。
防御側もAIを用いた効率的な対策を講じなければ、従来の人手だけでは対応が困難です。ホワイトハッカーの役割も従来の手法に加え、AIを活用した分析や効率化のスキルが求められるようになっています。ただし、AIはあくまで専門家を補助するツールであり、使いこなす能力が効率化の鍵となるでしょう。
また、AIの利点の一つとして、24時間365日稼働できることが挙げられます。人間には到底対応できないスピードでの攻撃や分析ができるようになりました。これにより、ホワイトハッカーや防御側の対応力の差はさらに拡大するでしょう。
―― 将来的な量子コンピューターによる暗号破壊のリスクについては、どのようにお考えでしょうか?
寺田先生:暗号技術は進化しています。既存の暗号をより安全な方式に切り替えていく流れが整っているため、現時点では大きな懸念には至っていません。実際の侵入は暗号よりもシステム設定やプログラムの脆弱性によって起きることが多く、暗号の更新も含めた継続的な対策を行えば対応可能です。
ホワイトハッカーが築く安全なデジタル社会
―― 法律や規制の面から見て、ホワイトハッカーが活動しやすい環境は整っているでしょうか?
寺田先生:法律や規制の面では、日本では不正アクセス禁止法などの制約から、ホワイトハッカーが活動できる範囲が曖昧です。実際に動作するシステムを対象とした場合の責任の所在が明確でないことが課題となっています。米国では、連邦政府を対象に「この範囲であれば調査しても責任を問わない」という仕組みが整備されています。このように脆弱性を積極的に報告できる文化や仕組みが整うことで、セキュリティはより強固になります。
一方、日本は、情報セキュリティ早期警戒パートナーシップという仕組みがありますが、まだ十分に認知されていません。ホワイトハッカーが安心して活動できる環境の整備が必要ですね。
―― 最後に、この記事を読んでいる方へメッセージをお願いします
寺田先生:未来の安全なデジタル社会を支えるホワイトハッカーには、自ら考え、興味のある分野を深掘りする姿勢が重要です。必要な基礎知識は、コンピューターの仕組み、プログラミング、ネットワークなどです。優秀なホワイトハッカーは、自分の好きを徹底的に追求し、与えられた課題を主体的に掘り下げます。また、社会や企業のニーズに応じてスキルを柔軟に活かす能力も求められます。単に技術が優れているだけではなく、自ら考え、行動できることが成長の鍵です。まさに今、高度な知識と倫理観を持つ皆さんこそが、安全なデジタル社会を築く主役となる時代です。未来の社会を支える「サイバーセキュリティ道」を歩んでみませんか?
寺田 真敏先生のご紹介リンク:
– 寺田 真敏 | 東京電機大学 教員情報