今年参加した二つの大きなイベントで、なんとなく対照的な未来像を見ました。ひとつは1月に毎年ラスベガスで行われる世界最大規模の家電ショーであるCES、もう一つは2月にサンフランシスコで開かれた、これも毎年恒例のRSAコンファレンスです。
前者は、コンシューマ向けの電子製品や最新テクノロジーが満載、自動運転車からテレビ、スマート家電、3Dプリンター、そしてゲーム機まで、様々な製品やコンセプト展示が、ところ狭しと並びます。
ロボットは、こちらも進化していて、クラウドのAIと連携した様々な接客や介護、見守り用のロボットが展示されていました。
さておき、CESでは、未来はこんなに素晴らしい・・・といった印象が大きく、かつて少年時代に夢見た未来像がどんどん実際のものになっていくという「わくわく感」があります。それが、CESを見に行きたいという最も大きな理由なのです。もちろん、こうした技術の爆発的進歩や拡大に対して危惧がないわけではありませんが、それらをどうにか解決して「手に入れたい未来」がそこにあるのです。
◇
初日に行われた、一連のキーノートで受けた印象は、まさに「混沌」です。端的にまとめれば、「技術の爆発的な進化が混沌を生み、様々な想定外を含むセキュリティ問題が発生するだろう」という予言です。
そして、一連のキーノートから得た「結論」は、「これから来る困難な時代に、我々は協力して臨まなければならない」というものでした。つまり、「何が起きるか予想もできないから、とにかくみんなでかんばろう」という、ちょっと精神論めいたイメージです。
そこまで暗いイメージを作り上げるのは、やりすぎだろう・・・と感じたのですが、FUDじゃないか、という前に、我々の業界の現状をもう一度考えてみる必要があるのかもしれません。実際、CESで見た技術の爆発は非常に印象的です。各分野の技術を引っ張っているのは、いずれも世界トップレベルの研究者や技術者です。さらに、これからAIがそうした進歩を後押しする時代になれば、進歩はさらに加速するでしょう。いわゆる「シンギュラリティー」(技術的特異点)は、2045年よりも、ずっと早く訪れるかもしれません。そんな技術の進歩の最先端に対し、セキュリティの「専門家」は何ができるのでしょうか。
自ら手を下すにはハイレベル過ぎる領域です。基本は述べられても、実際の実装や現場での対応は多くの「セキュリティ専門家」には非常に困難な仕事になるでしょう。まして、我々が相手にするのは、そうした最先端技術を「使う」側の人たちです。我々同様、彼らもそうした技術の中身や本質を理解することは困難です。そういう意味では、「セキュリティ屋」さんたちが暗くなってしまうのは当然なのかもしれません。一方、攻撃者は、少数精鋭で、その分野を極めてくるはずです。そうなれば、核ミサイルを木の盾で防ごうとするようなもので、まったくもって歯が立たないでしょう。もちろん、迎撃ミサイルを作ることは可能です。しかし、そのためには、攻撃側と同じレベルの(狭い分野での)高度な技術知識が必要です。しかし、人材の面から言えば、そうした「専門家」の大量育成は不可能です。(CTFなどで育成できるレベルの人材ではありません)一方で、守るべき前線は広大で、どれだけ人がいても足りません。つまり、こうした非対称性の拡大が、これから起きようとしている(と彼らが言っている)「混沌」の本質なのかもしれません。つまり、今回のRSAコンファレンスで感じた「混沌」は、すなわち「セキュリティ業界」の行き詰まり感なのだろうと思うのです。
◇
さて、こうした両極端を目にしたわけですが、どちらが・・・という議論は、おそらく不毛でしょう。なぜならば、どちらも現実だからです。そして、我々が欲しいのは「明るい未来」です。ならば、どうすれば「混沌」を解消して、明るい未来を手に入れられるのでしょうか。少なくとも我々は、「不都合な現実」をたくさん知っています。でも、いまやそれらの多くは我々には(少なくとも技術的には)どうしようもありません。そろそろ、我々は「セキュリティ業界」という枠を崩して、ITという大海原に散らばっていく必要があるのかもしれません。そうして、様々な分野の技術者や専門家と協力して、それぞれの分野におけるセキュリティの底上げを「内部から」していく必要があるのだろうと思うのです。今回、RSAコンファレンスに参加して、こうした思いを強くした次第です。
