ブログ

さておき、近所のミケ子さんなど・・・。

色々と不穏な情勢、せめて猫分を補給して癒やされたいのだが、色々なニュースが追い討ちをかけてくる。そう言えば、先日、米国のCISA:Cybersecurity Infrastructure Security Agency（サイバーセキュリティ・インフラストラクチャ・セキュリティ庁とでも訳すか）が、政府機関向けの新しい脆弱性対応基準を発表した。段階的な移行を180日以内に終わらせろという話なのだが、その内容がなかなか厳しい。先にも書いたが、AIによって脆弱性が大量に発見され、修正パッチの大量発生が予想される中で、リスクを評価して優先順位をつけ、リスクの高い物から迅速に処理せよとのことなのだが、リスクの評価軸は以下の4つ。① 脆弱性を持つ資産（機器）がパブリックなネットワーク（たとえばインターネット）に接続されているかどうか。② 脆弱性を悪用した攻撃が実際に発生しているかどうか。（CISAのKnown Exploited Vulnerability: KEVリストに登録されているかどうか）③ 攻撃を自動化出来る脆弱性かどうか。④ その脆弱性を悪用することで、コンピュータの制御を完全に奪えるかどうか。この④軸で評価して、リスクが高いと判断されるものは、脆弱性の公表から3日以内に対策せよ、ということである。なお、特にリスクが高いものは、3日以内の対応に加え、既に侵害されていないことを確認（フォレンジック調査）せよという。先に、「Mythosだけが脅威か」でも書いたのだが、攻撃側がAIを使う前提に立てば、今後、脆弱性は公表時点で攻撃が始まっている、いわゆる「ゼロデイ」となる可能性が極めて高くなる。なので、実際に3日で対応したとしても、既に侵害されている可能性は低くないわけで、その前提で対処しろ、ということだ。少し前までの常識だったら、運用を無視したとんでもない要求と言われかねない話なのだが、これが現実ということなのだろう。よく出したなと思う反面、それだけの危機感が根底にあることが伺える。少なくとも、これまでの人手に頼った脆弱性管理プロセスでは、まったく間に合わないから、脆弱性情報の収集から評価、優先順位付け、そしてパッチの検証（これが一番厄介だ。パッチを当ててシステムが不具合を起こしたら元も子もないので・・）、適用までのプロセスを可能な限り自動化しなければいけなくなるだろう。今のところ、これをすべて自動化出来るソリューションはないから、開発するとかせざるを得ないだろうと思う。まぁ、ソリューションベンダにとってはビジネスチャンスだから、近いうちにあれこれ出てくるだろうが、気をつけなければいけないのは、全体を一気通貫でサポートするソリューションが必要なことだ。中途半端な自動化では、役に立たない可能性が高い。当然ながら、対象となる組織の環境も大きなパラメータになる。さて、そんなソリューションを提供できるベンダはどれだけいるだろうか、それが一番の危惧かもしれない。いずれにせよ、米国（政府）はその方向に舵を切った訳だ。日本も含めた他の国はどうするのか。はたして、そこまでの危機感を持って取り組むことが出来るだろうか。一方で、米国の政府機関はこれに対応できるのか・・・。しばらく目が離せない状況になっている。

そんなことを考えていたら、今日また新しいニュースが飛び込んできた。某帝国政府（敢えてこう書くのだが）が、Anthropic社の最新AIモデルを安全保障上の理由から、国内外を問わず外国人に使用させるなと言うお達しを出したそうだ。当然Mythosも含まれるし、悪用対策を講じていると言われる最新のモデルも含まれる。そういえば、日本政府はMythosの使用権を得たことを成果としていたのだが、それもご破算になった形である。これが、T王陛下の差し金かどうかは別として、この措置が、期待どおりの効果を持つかどうかは疑問だ。問題になるのはAnthropicだけではないからだ。今後、他のAi事業者にも同じ事を要求するのか。これは全面的なAI禁輸になりかねないし、他国はおろか、帝国の民間ビジネスにも悪影響を及ぼすだろう。一方、帝国に敵対する国家は、そんな措置は織り込み済みだろうし、それこそ国家レベルで自前のAI開発に邁進しているはずだ。結果として、この措置は帝国側の同盟国のパワーを損なってしまう可能性が高い。まぁ、このところの帝国の政策すべてがそうなのだが・・・、結果として世界的なAIの軍事利用競争に火をつけてしまいかねないと危惧する。AIの技術もさることながら、今でも不足しているインフラやそれを構成する半導体などの資源を各国が囲い込み出せば、その影響は計り知れない。間違ってもそんな方向へ行かないことを祈るばかりだ。

さておき、そんな今朝は久しぶりの快晴。とりあえず、散歩して気分を変える。

今朝は久しぶりに全体が見えた「お山」。昼間に気温は一気に上がって⑳℃越えとなった。

今日は、またアニメの一気見にハマる。そろそろ今シーズンのアニメが終盤に近づいているので、先シーズンまでの、気になっているアニメは今のうちに観ておきたい。最近、毎週1話ずつ観る（で、また一週間待つ）というのがまどろっこしいというか、我慢出来ないので、アニメはためておいて、シーズンが終わってから一気に観ることにしているのである。まぁ、そんな感じで現実逃避の土曜日。午後から天気は下り坂。夕方には一時、雷雨になった。まだ梅雨のさなか、天候は不安定である。世界情勢も不穏な状態が続いているが、大きな嵐にならないことを祈りたい。

数日日記をサボっている間に、関東甲信も梅雨入り。雨の季節に突入である。森の中なので外の湿度はほぼ100％。室内も放っておくとどんどん湿っぽくなる。除湿機1台をフル稼働させても、２階が湿っぽいままなので、急遽、"密林"で除湿機を１台調達して２階で稼働させている。

梅雨だからと出不精になってしまっては、運動不足になる一方なので、傘をさして頑張って歩くのだが、気分的にはイマイチ冴えない。

猫たちも、濡れないように建物に避難中。

時期的に、こういう奴が、あちこちでぶら下がっているので、散歩は要注意。一昨日は頭についているのに気がつかず、夜、いきなり落ちてきて、かなり寒い思いをした。（苦笑）

昨日、今日はちょっと梅雨の中休み。朝から青空が見える天気。でも、午後はちょっと天気が不安定になる。昨夜は気温も下がって8℃くらいまで下がったのだが、室内は13℃くらいで、寝冷えもせずにすんだ。今朝はこんな感じで、うろこ雲。上空は風があるのか、雲の流れは速い。

天気がいいと朝の散歩も気持ちがいい。ただ、油断していると毛虫を食らってしまうので、気が抜けない。

山にはまだ少し雲がかかっている。でも、この時期「お山」は見えないことの方が多い。

今日は、書き物仕事などをしながら過ごしたのだが、午後には天気が悪化してしばらく雷雨になった。夕方買い物に出る頃には雨は上がっていたのだが、明日にかけてはまた梅雨空が戻ってきそうだ。

さて、しばらくは湿っぽい季節が続くのだが、気分が湿っぽくならないようにしなければいけない。何か明るい話題でもあるといいのだが・・・。

台風が来たり、このところすっきりしない天気が続いている。散歩していても、いまひとつ気分が冴えないのは、都会の喧噪のせいだけではなさそうだ。本宅の裏山の散歩コース。今年も道ばたは草ぼうぼうになりつつある。

とりあえず、横浜界隈での用事も一段落したので、昨日は午後から別宅に移動。道路もSAも比較的空いているのは、平日＋天気がよくないからだろうか。上里SAの花壇も今が花盛りだが、天気が良かったらもっと鮮やかだろう。

空はこんな感じでどんより・・・・

ツバメはそろそろヒナが大きくなり始めているようだ。巣立ちまではまだ少しかかりそうだが、せわしなく餌を運んでいる。

こんな鳥も見かけたのだが、名前が分からない。コパイロットに聞いたら、ハクセキレイか、スズメの幼鳥との答えが返ってきた。右側は、たしかにハクセキレイに見えるが、左はちょっと違う。これがスズメの幼鳥か。一緒に居ても不思議ではないとコパイロット君は言うのだが・・・。

とりあえず、いつものように軽井沢で買い物してから別宅へ。到着は午後３時半過ぎ。室内がちょっと湿っぽかったので、除湿機を出してきて稼働。そんな感じで、この週末は別宅で過ごしている。しかし、２週間ちょっといない間に、緑が一気に濃くなった。いつも歩いている道も、景色がずいぶん変わっている。

空も、緑の天井が広がっている。夏場は日差しを遮ってくれるので、散歩には好都合なのだが、天気が悪いとちょっと暗い感じがする。

西日本は既に梅雨入り。このあたりもそろそろだろうか。しばらくは湿気と戦うことになりそうだ。

気がつけばもう６月に突入して数日が過ぎている。しばらく横浜で過ごしているのだが、暑かったり、天気が悪かったりで、運動量が下がってしまっている。部屋が狭いので（もともと狭い上にガラクタが・・・）籠もっていると、ほとんど動かず、ついゴロゴロしてしまうから、体力は落ちるばかり。朝の散歩は続けているものの、どんどん出不精になっていく。

天気がよければ季節的にはいいのだが、別宅暮らしに慣れきった身体には、下界の気温はちょっとこたえる。この一週間で多少慣れるかとも思ったが、エアコンの効いた室内に籠もっているので、慣れるどころか、退化しているようにも思える。困ったものだ。

散歩道から見る富士山も時節柄、あまりすっきりとは見えないのだが、まだ少し雪が残っている。浅間山の雪はもう消えてしまったので、流石に日本一のお山である。（いまいち意味不明・・・）

そろそろこいつら毛玉にはちょっと厳しい季節がやってくる。最近は朝でも日陰にいることが多くなった。

今週は、某教会もとい協会の総会と懇親会があり、久しぶりに都内へ出向いたのと、今日は車の点検があってディーラーで待っている間に少し歩いたのを除けば、概ね本宅ごもりである。夕空には木星と金星がランデブー中、そろそろ梅雨が近づいてくるから、こんな夕空もしばらく拝めなくなるかもしれない。

さて、当面本宅まわりでの用事も一段落したので、明日か土曜にはまた別宅へ行こうと目論んでいる。来週は別宅で過ごすつもりだ。

さておき、とりあえずの猫分補給から。眠り猫2題。

さて、白浜から戻って、今週は横浜の本宅暮らし。別宅へ行こうかとも思ったのだが、来週は車の点検とかあって、また戻ってこないといけないので、来週半ばまでは、こちらに居ることにした。しかし、別宅あたりに比べると、こちらはずいぶん蒸し暑い。白浜で少し慣れたとはいえ、もう少し下界の気温になれないと、夏が厳しそうだ。気温もさることながら、湿気が多いのも辛い。まぁ、別宅あたりも、リモートで見ているとだいぶ湿度が上がってきたようなので、次に行ったら除湿機の出動になりそうだ。ちなみに、本宅はエアコンかけっぱなしである。部屋の中に熱源が多いので、エアコンを切ると一気に温度が上がってしまうのである。このご時世、電気代が・・・なのだが、気にしないことにする。（苦笑）

本宅界隈は、そろそろ紫陽花が見頃になりつつある。まぁ、これが本来の季節感なのだろう。今週、散歩の歩数はちょっと伸び悩み。都会の散歩はイマイチあじけない感じがする・・・というのは言い訳で、蒸し暑いから汗だくになってしまうのが辛い。しかし、5月も残り僅か。月も今月2回目の満月に向けて、満ちつつある。

こんな夕景も久しぶり。ちょっと雲が多いので、富士山は見えない。

昨日は散歩がてら、駅近くのスーパーまで買い物に行ったのだが、第二京浜沿いのムクゲの花も今が見頃である。

そんな感じで日常回帰中。まぁ、別宅暮らしとどちらが日常かと言えば、最近はかなり怪しくなってきているのだけど。世の中はあいかわらず不安定。海外は戦争の、国内は強盗のニュースとか、物騒な話題ばかりだ。理由がいまいちわからない株高とか、石油製品の「目詰まり」問題とか、介入も焼け石に水の円安とか・・・経済もいまひとつおかしい。田舎暮らしではあまり気にならない（気にしない）ことが、都会暮らしでは気になってしまうのも不思議だ。もしかしたら、だんだん仙人的な感覚になりつつあるのだろうかな。まぁ、それもいいかもしれないが・・・・（苦笑）とりあえず、閑話ねたまで。

とりあえず、無事到着した白浜。一夜明けた2日目。今回、雨続きを覚悟していたのだが、天気は回復しつつある。

今回、会場に近い宿がとれず、マリオットにした。このホテルは初めてだが、まぁ、お値段相当でホテルの部屋や設備はいい感じである。難点を言えば、高台にあること。行きはよいよいで、帰り（だいたい酔っ払っている）に山登りが待っているのがちょっと辛いのだが、まぁ、それはそれで、いい運動になると割り切れば問題無い。

朝は、いつも通り6時台に起きて、温泉に浸かった後に朝食。それから白浜シンポジウムの会場である白浜会館へ向かう。去年まで、会場は隣の田辺市にあるBiG-Uという施設だったのだが、今回から白浜町内の施設に変わった。BiG-Uに比べれば近いのだが、それでも温泉街の中心からはだいぶ遠い。いつもならば、送迎バスを使うのだが、初日に歩いて見て、30分ほどで行けることが分かったので、ちょっと頑張って歩くことにした。片道5000歩弱の道のりである。途中、こんな立派な？ホテルが見えるのだが、昭和のバブリーなころに立てられた御殿で、お値段もそんな感じらしい。

白浜シンポジウムは今年が30周年。こんなパネルも掲示されている。

今年のテーマは「連携」。セキュリティの難局とも言える現代、単独で脅威に立ち向かうことは困難、ということで、民間同士はもちろん、官、学とも互いに連携して・・・という話である。新しい話ではないのだが、これまでも言われながら、成功例は余り多くない。その原因も含めて話そうということだ。しかし、昨今のセキュリティイベントでは、AI噺が殆どになっている中、AIの話は殆ど出てこないのが新鮮というか、それはそれで悪くない。

2日目冒頭の講演で、異なる主体が共同で何かをする場合に、重要なのがモティベーションとインセンティブだという話があった。たとえば、最初、意識（モティベーション）が高い人たちが始めた集まりが、人が変わるにつれて、次第に機能しなくなっていくのは、インセンティブに欠けるからだという。モティベーションを維持するには、ある程度のインセンティブが必要ということだ。官民連携がうまく行かない理由の一つが、民に取ってメリットが少ないことだとすれば、それはインセンティブに欠く連携だろう。産と学、官と学についても同様である。これは、なかなか重要なポイントだと思う。・・・とここまで書いたところで、そろそろホテルを出なければいけない時間になった。続きは帰ってから書くことにしよう。

【空港にて追記】

空港で少し時間があったので追記。

全体的に地味な内容だったので、時々サボりながら参加。その夜は知人に誘われて、こんな感じで旨いものを食う。

その後夜のBoFに行ったのだけど、お目当ての部屋は大入り満員。仕方が無いので撤収する。こんな夜景を見ながらホテルに戻る。

帰りはまた、坂道を汗かきながら上ることになる。で、翌、最終日の朝もいいお天気。

この日は午後の最後のセッションがお目当て。新聞やテレビの記者の目線でのお話し。専門家ではなく、一般の読者、視聴者の目線でセキュリティ問題を掘り下げていく難しさはあるだろう。パネリストたちのモティベーションの高さを感じた。メディアというと、私などにはどちらかと言えばよく分からない世界なのだが、少なくともこうした人たちがいるならば安心な感じがする。こうした人たちが少しでも増えてくれることを祈りたい。

そんな感じで最終日は早めに終了。時間があるので帰りも歩いて帰ることにする。ホテルに帰って、しばらく仕事などして、夕方飯を食いに出る。

いくつか晩飯のお誘いがあったのだが、いずれも遅い時間。腹が減ってそれまで持ちそうになかったので、近くでラーメンなどを食い、その後、近くで0次会と称して集まっていた人たちに合流してしばらく談笑する。

その夜（昨夜）は泊まって、今朝の朝食。

11時にチェックアウト、荷物をホテルに預けてしばらく散策。しかし、暑い。

　・・・・で、そろそろ搭乗時刻が近づいたので、残りは本当に帰ってから・・・・とか言いつつ、機内で追記。（そのあと、帰宅後に画像を含めて再度編集。）

今朝の白良浜では、何やらイベント中。砂と海水だけで造形を作る競技らしい。（「砂祭り」というらしいが）数年ぶりの開催とか。

みていたいのだけど、日陰がなくて暑いので、少し離れたあたりで日陰を見つけて一休み。

それから軽く昼食を食ってホテルに戻り、荷物を受け取ってからタクシーで空港に向かう。

で、この前の部分を書いてから搭乗、離陸してから、この前のバージョンを追記する。追記はiPadを使ったので画像をアップできなかった。なので、今書き直しているところである。

あいにく天気がいまひとつだったのだが、上層と下層の雲の間に富士山は見えた。

午後3時頃に羽田に到着。置いてあった車で、途中買い物をしてから帰宅する。そんな感じで、今年の白浜も全行程を終了である。

先に、Mythosに関して書いたのだが、その後、国からこんなものが発表された。三種の神器の八咫鏡になぞらえるとは、現政権らしい発想なのだが、それはさておき、問題は中身である。ソフトウエア開発企業に対して、脆弱性対策にAIを活用するというのはいい。一方で、インフラ事業者や行政に対しての提言は、従来からの内容の繰り返しで、対AIという意味では具体性を欠くものだ。

つまり、基本的なセキュリティ対策、施策と、そのスキームを再確認せよ、ということなのだが、これでは、これまでの方向で問題無いと受け止められかねない。

なぜ、こういう内容になったのかを考えて見ると、問題は大きくわけて二つある。ひとつは、AI時代においても、攻撃を受ける側がセキュリティのためにすべきことの大枠は変わらないということ。この文書は、すなわち、そういうことを再確認しているにすぎないわけだ。一方で、AIがサイバー攻撃に使用されることで、それぞれの対策の中身は大きく変わるだろう。まず、すべてにおいて、大幅なスピードアップが必要になる。さらには、より技術的に高度かつ動的な対策が必要になる点だ。この理由は先の記事で書いている。しかし、それは、現状でAIが依然として加速度的な進化の途上にあることを考えれば、具体的にどうすべき、というのは難しい。言ったところで、それは現時点でのスナップショットに過ぎず、数ヶ月後には大きく変わっている可能性があるからだ。

実際、我が国に限らず、AIに関しては、各国共に苦労している。そもそも、国としての検討プロセスがAIの進化にまったく追いついていないからだ。たとえば、有識者を集めて半年で結論を出したとして、それを公表するのにまた数ヶ月・・。公表されたころには状況が一変している可能性が高いから、また、やり直しになってしまう。それでも、米国やEUは、多少なりともAIに踏み込もうとしてるように見えるが、我が国政府のこの文書を見る限りにおいては、詳細に踏み込むことを諦めてしまったように見える。それでも、何かを出さないといけないから出した・・・、申し訳ないがそう見えてしまうのだ。具体策が書けないなら、AIに対して、先に書いたようなリスクがある点を明示し、企業みずからが、対策プロセスのスピードアップと高度化を（危機感を持って）進める必要があることを説くべきではなかったのか。そう思うのである。

昨日の白浜シンポの講演でも、AI法制はいまだ基本法レベルに留まっていて、具体的な施策に落とし込めていないという話があったが、これは、まさにそういう理由だし、各国共に苦労している部分だ。しかし、AIの進歩はそれを待ってくれない。であれば、それぞれの組織が、自分で出来ることをどんどん進めていくしかない。インフラや金融、行政といった分野では、国の指針をもとに施策を進めるという文化が根強い。裏を返せば、「国がやれと言うからやった」という受け身の文化である。これからの時代、この形はもう成り立たない。方針が落ちてくるのを待っていたら、それまでの間に侵害を受けてしまう可能性が非常に高いのだ。こうした文化を変えていくことこそ、AI時代のセキュリティに必要なことなのだろう。

結局、ぎりぎりまで別宅にいて、昨日横浜に戻ってきた。別宅では、ここ数日、花粉症の症状がひどくて、仕方が無いのでまた薬を飲んでいたのだが、この時期、いったい何の花粉だろうか。確かに、以前の検査ではスギ以外にイネ科の花粉（この時期がピーク）にも少しアレルギーがあったのだが、今回の症状はスギ花粉のピークにも相当するひどさ。で、昨日、帰りがけに車を見たら、何やら車の表面に花粉っぽいモノが薄くこびりついているではないか。車の上にあるのはスギの木なのだが、まさか今頃？まったく謎なのだが、横浜に戻ってきたら症状は改善。どうやら別宅界隈固有の話だったようだ。

さておき、今日から毎年恒例の「サイバー犯罪に関する白浜シンポジウム」に参加。昼前の飛行機で南紀白浜へ・・・。と思っていたら、いきなり現地視界不良のため引き返すかも・・・という通知が某赤色航空会社から飛んできた。確認してみると、朝一の便は着陸できずに折り返したらしい。こちらも、関係者で満席だったはずだから、羽田に帰ってしまえば、今日の参加は絶望的になってしまう。

とりあえず、羽田へ行ってみたのだが、保安検査の入り口で入場を拒否された。天候調査中のため、結果が出るまで入れないという。さて、もし飛ばなかったらどうするか・・・待ちながら思案。羽田へは車で来ているので、飛行機がベストなのだが、選択肢は関空一択。それでも、そこからJRに乗り換えて白浜だと3時間くらいはかかってしまう。一方、一旦自宅に戻って新横浜から新幹線で新大阪経由、特急で白浜ルートもあるのだが、こちらはたぶん、6時間コース。そもそも、自宅に戻ったら、そこで心が折れてしまう可能性が高い。昼過ぎの関空便は残り5席程度。飛ばないと分かった瞬間に予約変更を入れようと構えていたら、とりあえず飛ぶというアナウンス。但し、着陸できなければ引き返し。もし、そうなったら、夜便か、明日の朝便で行くしかない。これも心が折れそうだが、とりあえず着陸できることを祈りながら、搭乗を待つ。ちなみに、赤色航空会社のステータスは「平民」なので、搭乗待ちはカード会社のラウンジである。（苦笑）

定刻より少し遅れて羽田を離陸する。満席の737-800は、その大半が関係者である。離陸後、高度を上げて巡航高度に達しても、まだ雲の中。なんとなく嫌な雰囲気が漂う。前線の関係だろうか、コースは御前崎から浜松あたりまで陸上を飛んで、そこから伊勢湾を斜めに横切って紀伊半島へ。高度を下げ始めたら、雲の隙間から少し地上が見えてきた。

白浜へは海側からのアプローチ。着陸前には海や街が見えて、そのまま一発で着陸成功。何度かやり直しを覚悟していたから、これはラッキーである。

で、どうにか無事、こちらのイベント会場へ到着。

とりあえず、最初の講演を聴き、それから一旦抜けてバスでホテルへ。チェックインをすませ、一休みしてから、夕方のウエルカムパーティーを目指してまた会場へ向かう。バスの時間が合わず、結局、ホテルから会場まで30分ほど歩くことになった。雨は降っていなかったが、湿気が多くて結構汗だくになる。まぁ、おかげで今日の歩数目標は達成である。（笑）30分で歩けるなら、いつもの散歩と変わらない。雨さえ降らなければ、明日の朝も歩こうかなとか思っている。

そんな感じで、今回は日曜まで白浜である。

ここ数日、いいお天気と高温が続いている別宅界隈。とりあえず、毎日、6時台に起床し、朝食前に30分ほど歩く生活が続いている。

落葉樹の葉がだんだん濃くなって、散歩道の日陰もだいぶ増えた。別荘地もそろそろ夏モードだが、そんな中、今は鮮やかな色のヤマツツジが見頃になっている。

猫にとっても、今が一番いい季節だろう。この薄茶白もあちこち歩き回って活発だ。

近所のグリーンプラザホテルの庭も、すっかり緑になった。

で、そんな景色を見ながら、私は温泉へ。ゴルフ場がオープンしているので、平日でもそれなりに客はいるのだが、とりあえず、空いていそうな時間を狙って浸かりに行く。

このところ、夜の冷え込みも弱まっているが、それでも天気のいい夜は放射冷却で、5℃前後まで冷え込む。なので、朝の1時間くらいはまだ暖房が欲しい。昼間は、一気に気温が上がって、今日も軽く20℃越え、昼には夏日目前まであがった。まぁ、下界はそろそろ真夏日になる所もあるくらいなので、まだずいぶんマシではあるのだが、寒暖差が大きいのでちょっと調節が難しい。

今日も、朝飯前に4000歩ほど歩く。午前7時台はまだ気温も低めで気持ちがいい。

朝飯の後、少しゆっくりして、また11時頃から歩いたのだが、もう気温が20℃を越えていて、ポロシャツ腕まくりで問題ない。帽子をかぶった頭が汗でベタベタになるくらい。そろそろ水分補給に注意しないといけない。そんなペースで、今日も昼過ぎには10000歩を歩いてしまう。ちょっと歩きすぎかもしれないが、昼前にノルマ（笑）をこなしてしまえば、あとはゆっくりできるので・・・。午後、早めに買い出しに行き、それから少し仕事などしていたら、もう夕方。少しだけ歩いていたら、また茶白と遭遇した。

こいつは、うちの別宅界隈も縄張りにしているらしく、近くでもよく見かけるのである。さて、明日は月曜。来週木曜から、いつもの白浜シンポジウムで南紀白浜へいくのだが、その前にいつ横浜に戻るか思案している。明日戻るか、直前の水曜に戻るか。このところ、ほとんど別宅に根が生えているので、そろそろ横浜も郵便物とか心配である。まぁ、どちらにするかは、明日の朝の気分で決めることにしよう。

最近話題の仕事ねたを少し。米国 Anthropic社のAI、Claude Mythosが、最近ニュースになっている。米国政府を皮切りに、各国、日本などの政府が、「金融機関や重要インフラへの脅威」として、関係機関や企業に対策を促す動きが広がっている。

発端は、Mythos（日経などのメディアはミュトスと呼んでいるが、「ミュ」にはちょっと違和感があるので、私はミトスと呼ぶ）が、これまで発見されていなかった大量の脆弱性を様々なソフトウエアで発見した（と言われている）こと。おそらく、コード解析によるものだと思うのだが、これを皮切りに、大量の脆弱性が短期間に発見され、対応が追いつかなくなる可能性が最も大きな懸念点である。一方、先にダークサイドがこうしたAIを使って脆弱性を見つけ出し、修正前に攻撃を仕掛けてくることも懸念されている。

Anthropic社は、こうした懸念から、Mythosを正規のソフトウエアベンダなど、信頼がおける相手のみに限定公開しているのだが、こうした問題はMythosに限らない。最近Mythosばかりがクローズアップされているのだが、他のAIでも同様のことは可能だし、性能面のギャップもすぐに埋まっていくだろう。こうした大規模な高性能AIばかりでなく、オープンソースのモデルを使った、デスクトップレベルでのAIでも、少し高性能のハードウエア（GPUなど）を使えば、そこそこの性能は出せると、先日のBlackHat Asiaで、元Open AIの研究者が述べていた。つまり、この問題はMythosだけでなく、AI時代の脆弱性管理やシステム防御のあり方そのものに大きな課題を提起していると言えるだろう。

先に述べたように問題はいくつかある。まず、短期的には、Mythosのような高性能AIを使って、ソフトウエアベンダやオープンソースコミュニティー、研究者などが、過去のコードに大量の脆弱性を発見することで、その修正や、運用現場でのパッチ（修正されたソフトウエア）の適用が追いつかなくなることだ。コードの修正は、いっそAIにやらせれば効率が上がるだろうが、パッチの適用は簡単ではない。被害が懸念されるシステムはその多くがミッションクリティカルなシステムで、可用性の要求レベルも高い。パッチがリリースされたからと言って、すぐに停めてインストール、というわけにはいかない。まして、これまでも、パッチによる不具合は頻繁に発生しているから、たとえばバックアップのシステムに適用してきちんと動くかどうか検証する必要がある。大規模なシステムでは、多くの場合このプロセスに数週間から数ヶ月をかけているのが実情だ。

AI時代を念頭におくならば、こうしたプロセスは大幅に短縮する必要がある。こうした脆弱性は、同じようにダークサイドによって発見される可能性が高く、その脆弱性を攻撃するコードもAIに生成させることができるため、多くの脆弱性はパッチリリースと同時かそれ以前に攻撃が始まる「ゼロデイ」脆弱性になる可能性が高い。これが第二の問題だ。この状況は今後しばらくは悪化するだろう。パッチがリリースされてから、それが適用されるまでの期間、システム（特に、外部などから攻撃を受けやすい環境にあるシステム）は攻撃を受けるリスクに晒されることになる。たとえば、パッチの検証から適用までを自動的に行うシステム（これもAIがらみになるだろう）があったとしても、即日適用は難しいだろう。こうしたプロセスにはガバナンス面で、要所要所に必ず人間が介在するように設計されているからだ。AIが十分に信頼出来るようになれば、こうした問題は改善出来るようになるかもしれないが、それにはまだ時間がかかる。当面は、パッチが適用されるまでのあいだ、攻撃の兆候を監視して、防御するという「臨戦態勢」が必要になる。これも、人間がやっていたのでは限界があるから、AIの出番になりそうだ。複数のシステムに大量の脆弱性が存在し、それに対して動的に防御するというのは簡単ではない。まして、攻撃を受ける可能性があるシステムがどこに存在しているのかを十分に把握出来ていなければ、防御すべき対象から漏れるシステムが出る可能性もある。いわゆる攻撃対象領域管理（Attack Surface Management）や脅威暴露管理（Threat Exposure Management）が普段から出来ていないと、対応が難しくなる。

最も深刻な問題は、こうした対処に必要なリソース（特に専門的スキルを含めた人的なリソース）が膨大になることだ。リスクベースで、リソースを優先配分するにしても、おそらく絶対的にリソースが足りなくなり、防御が手薄になるシステムが少なからず生じてしまう。この問題も、おそらくAIに頼って、自動化、効率化することが必須となるだろう。つまり、AI時代には、守る側もAIをフル活用できなければ負けてしまうということなのだ。

つまり、Mythosが提起しているのは、これからのサイバー領域での攻防は、AI対AIの戦いにならざるを得ないという問題なのだと私は考える。セキュリティソリューションベンダもこうしたことを念頭においたシステムを市場に投入してくるだろう。ただ、これは部分的なソリューションで解決できる問題ではなく、防御対象とそのリスクの全体像を把握した上で、すべての対処を最適化するという総合的なソリューションを必要とする。単一のベンダでこうしたソリューションを提供できそうなところは少ない。当然複数のソリューションを組み合わせて構築する必要があるのだが、残念ながらそうした能力を持つSIerも多くないのが現状だ。そういう意味では、当事者であるITユーザ企業自身が、こうした全体像を把握し、大きな絵を描いて、ベンダやSIerに提示出来るだけの能力を獲得しなければ、生き残っていけないと思うのである。一方、こうしたことにあまり時間をかけているわけにはいかない。脅威はそこに迫っているからだ。ショートカットができないなら、正面から全力で取組むしかないだろうと思うのである。

日本政府が金融や重要インフラに対して検討を指示したのは、おそらく米国の影響だろう。一方で、政府が作る検討の場で、こうした問題がどこまで真剣に議論されるのかは注視していかなければいけない。この問題は決して、「お茶にごし」ではすまないからだ。問題の本質をきちんと理解して、対処していかなければ、国の存亡にも係わる事態なのである。

長い目でみれば、この問題は一過性のものかもしれない。いずれ、ソフトウエアやシステムの開発もAIが担うようになり、少なくとも人が作り込むレベルでの脆弱性は排除されてしまうだろうからだ。一方、より高次元のAI同士の戦いは続いていくかもしれない。もしかしたら、もう10年もすればそんな時代になるのだろうか。その時、我々人間はどのように過ごしているのだろう。