明治大学教授 齋藤孝道│簡単に分かる「フィンガープリント」最前線!第一人者の齋藤教授がわかりやすく解説
不正検知のための新しい基盤技術となる可能性を秘めた「フィンガープリント」とは何か?
アクセスしたブラウザを特定するCookie(以下、クッキー)技術。Webサービスにおいてサービス利用者にスムーズに情報を提供するための基盤技術として使われてきたが、プライバシー保護の観点から世界的には規制の動きも出てきています。
そこで登場したのが、次世代の不正検知技術であるフィンガープリント。しかしこのフィンガープリント、GoogleやAppleなどの独自の技術標準との覇権争いや、プライバシー保護との兼ね合いもあり、今後の業界の行方については注視されています。
明治大学・サイバーセキュリティ研究所所長の齋藤孝道教授は、オーム社の技術書や、IPA情報処理技術者試験の委員などをし、自らもフィンガープリント技術を不正検知に活用する会社を起業しています。
今回は、日本のセキュリティ、フィンガープリント関係の第一人者と目されている齋藤教授に、素人にもわかりやすく「フィンガープリント技術」についてかみくだいて解説していただきました。
明治大学 サイバーセキュリティ研究所 所⻑(先端技術調査・開発及びそれらの社会実装、サイバー安全保障調査等)。レンジフォース株式会社 代表取締役(2016/8より)。(金融関連テック企業などの技術顧問等、受託開発・開発支援、セキュリティ診断など)
• 専門:情報セキュリティ技術。特に、Web セキュリティ、ブラウザのトラッキング(ブラウザーフィンガープリント)技術、AI技術応用(不正検知、脆弱性検査など)、SNS関連などを研究テーマとする。
• IPA 情報処理技術者試験委員・情報処理安全確保支援士試験委員、NICT 高度通信・放送研究開発委託研究評価委員会専門委員、J17(文部科学省委託事業)・情報処理学会コンピュータ科学教育委員会(CS)委員など、学会関連(セキュリティ・OSなど)委員を多数歴任。
• 主な著書、「マスタリング TCP/IP 情報セキュリティ編」(オーム社)、「プロフェッショナルSSL/TLS」(ラムダノート社)
創業手帳 株式会社 代表取締役
大手ITベンチャー役員で、多くの起業家を見た中で「創業後に困ることが共通している」ことに気づき会社のガイドブック「創業手帳」を考案。現:創業手帳を創業。ユニークなビジネスモデルを成功させた。印刷版は累計250万部、月間のWEB訪問数は起業分野では日本一の100万人を超え、“起業コンシェルジェ“創業手帳アプリの開発や起業無料相談や、内閣府会社設立ワンストップ検討会の常任委員や大学での授業も行っている。毎日創業Tシャツの人としても話題に。 創業手帳 代表取締役 大久保幸世のプロフィールはこちら
※この記事を書いている「創業手帳」ではさらに充実した情報を分厚い「創業手帳・印刷版」でも解説しています。無料でもらえるので取り寄せしてみてください
この記事の目次
研究を極めるために教授でありながらフィンガープリントの会社を起業
齋藤:そうですね。基本的には大学の活動がメインです。
理科系の教員なので、研究室で大学院生と一緒に研究していることが多いですね。
他にも、私が立ち上げたサイバーセキュリティ研究所では、さまざまな分野の社会人の方々とサイバー安全保障や情報安全保障といったテーマで研究をしたり、社会活動を行ったりしています。
サイバーセキュリティ研究所は、安全保障の観点で日本のサイバーセキュリティを推進することが目的の組織です。
齋藤:セキュリティの実践的な教育を提供するために「サイバーレンジ」というクラウド上で演習できるシステムを作ったんです。
このシステムの制作には多額の費用がかかったのですが、その費用を大学からもらう予算だけで賄うのは難しくなってしまいました。そこで、その開発・運用費用を自腹で賄うべく、レンジフォースという会社を起業しました。
そのためレンジフォースの売上の一部は研究・開発費用に充てられています。
ただし、セキュリティシステムの販売の売上はそこまで多くを占めているわけではありません。最近になってフィンガープリント技術に注目が集まるようになり、なんとか売上が立ってきた、といった感じですね。その利益を、学生たちのセキュリティの教育のために充てています。
私の目的は、日本のサイバーセキュリティのレベルを上げること。そのために教育や研究、会社経営などをしている、ということです。他にも、書籍の執筆なども手がけています。ただあくまで、研究が中心の活動です。
齋藤:そうですね。大学でも起業を推奨されていますが、実際に起業する人は少ないです。
やはりリスクが伴いますからね。みんな経営についていい話はしますが、悪いときの話はしないじゃないですか。私も一時は資金が足りず、自分の車を売り飛ばすところまで追い込まれました。経営は一筋縄ではいきませんね。
やりたいことをするために会社を上手く活用しているのですが、ビジネスとして回らないと潰れてしまいますので、バランスが難しいところです。
ただ、米国を含めた諸外国はその点進んでいて、セキュリティ技術を基盤としたビジネスも発達しています。ビジネスモデルとその支援の枠組みがあって、産業のエコシステムができているんですね。そうすると、セキュリティ技術を学んだ人材がその産業に供給されて、ますますセキュリティ人材の層が厚くなっていき、国のセキュリティレベルは高まっていきます。
一方日本では、ビジネスとしてのエコシステムを作ろうという視点が欠けている研究者・関係者が多いような気がします。技術のことだけではなく、ビジネスも作っていかないと、日本のセキュリティ環境はよくなっていきません。全体としてセキュリティビジネスを盛り上げていく、そういった観点も、起業した背景にはあります。
日本のサイバーセキュリティ環境は脆弱
齋藤:フィッシング詐欺など、実際にはさまざまな被害が横行しているのですが、警察に届け出がされていない被害もあるようです。
行政機関も、日本におけるセキュリティインシデントを全て把握するという訳にはいかないようです。これは程度の差はあるにせよ、どの国も一緒だとは思いますが。
「サイバーセキュリティ対策をしているから大丈夫」と考える経営者も少なからずいすようですが、サイバー攻撃は日々巧妙化し、実態として、ECサイトなどでは結構被害が出てしまっているのが現状です。そのため、日本のサイバーセキュリティ環境にはまだまだ改善の余地がありますね。
齋藤:おっしゃる通り、サードパーティークッキーが規制されるとデバイスを特定する手がかりが減るので、もちろんそれ以外の対策はあるのですが、安全なセキュリティ環境を保つことへはマイナスの影響と言えます。ただでさえ、ウイルスなどの不正のやり口を見抜くのは、研究していないと厳しいのにもかかわらず、です。それはフィンガープリント技術として同じです。不正のやり口も日夜進化してきているので。
※サードパーティークッキー…訪問したWebサイトで発行される「クッキー(ファーストパーティークッキー)」に対して、そのWebページ内の第三者(出稿している会社など)が発行するクッキー
フィンガープリントとは?
齋藤:簡単に言ってしまうと、使っているデバイスやブラウザの情報をもとに、それらのデバイスやブラウザを特定するための技術です。
人間の指紋のように、デバイスの状態などを記録しておいて、その記録に対してデータを照合することで、デバイスを特定することが可能です。デバイスやブラウザの状態が年を経るにつれて変わっていった場合にも、AIの機械学習を使ってその変化の状態についても追跡することが可能です。
このフィンガープリント技術を使えば、アカウント窃取によるなりすましの検知や、マシンやbotによる不正アクセスなど、さまざまな不正を検知できます。
齋藤:フィンガープリント技術は不正検知のための技術なので、ある程度そうしたことも折り込み済みです。つまり、プライバシー保護の観点からフィンガープリントに対抗しようと技術が開発されたとしても、それすら乗り越えて不正を検知できるように技術が開発されている、ということです。
フィンガープリント対策の対策も考えられている、ということですね。
フィンガープリント技術は比較的不正検知の精度も高く、導入もしやすいので、最近では多くの企業から引き合いをいただいています。
齋藤:そうですね。実フィンガープリント技術に限らずだとは思いますが、複合的な技術を扱える人材育成はかなり難しいように感じます。AIの機械学習モデルを作るところは特に難しくて、職人芸の域です。センスも要求されるので、勉強したからといってできるようになるわけではありませんね。
大規模なデータを扱う分野で実践的な成果を出せる人間の育成は本当に難しいです。付加価値の高いアウトプットを出せる人間は本当に希少です。
プライバシー保護、欧州、テックジャイアントの思惑が交錯するフィンガープリント技術業界
齋藤:サードパーティークッキーが規制されるようになった理由と同じで、フィンガープリント技術も、要するにWebブラウザを特定するための技術なので、プライバシー保護の観点からは「悪」とみなされかねないんですね。実際に、一部のマスメディアには、フィンガープリント技術を「悪」と決めつけて報道する向きもありました。
ただ、その裏にはセキュリティインシデントで泣いている人もいるわけです。逆にリアルの世界の防犯のことを考えてみれば話がわかるかと思います。
例えば、銀行やコンビニなどのセキュリティ対策として、防犯カメラが設置されていますよね。防犯カメラは必ずしも悪人だけを映像に捉えるわけではなく、一般の人も一緒に撮影している。国内でもたくさんの議論を経て、社会的に受け入れられるものは受け入れつつあります。社会としてなにを優先すべきかというコンセンサスが確立しつつあるように思います。
技術は使いようなんですよね。使い方によっては、より多くの人に恩恵を与える道具にもあるということです。ただし現在は、フィンガープリントがプライバシー保護の観点から逆風を受けている、というのは認めざるを得ません。
齋藤:彼らはあくまでもビジネスでやっているので、プライバシー保護の文脈でも、自社の技術やビジネスに利益が出るような方向に技術標準を持っていこうという裏の意図がないとは言い切れません。素直に信じている日本の方も多いですが、その裏の意図、ある意味、利益追求のためにやっている可能性がある、ということを忘れてはいけないですね。
世の中の流れとして、プライバシーを重視することについてのコンセンサスはあり、それに応えている面が大きいとは思いますが、最終的にだれが利益を享受するのかという視点も大事だと思います。
欧州などがGoogleなどをプライバシー保護の観点から規制しようという流れも出てきていますよね。これも欧州の利益のためになされていることであって、プライバシー保護というのは一種の「大義名分」という側面も忘れてはいけないように思います。彼らの行動にある裏の意図、真の意図を読み取らなければなりません。
インターネットはすごく便利ですが、その反面、使う人が増え続けるなかで、ウイルス感染など、その負の側面による影響も日に日に大きくなり続けています。オフラインよりも匿名性の高い世界なので、なおさらです。そこでプライバシー保護が重要だからといって何も監視がない状況を作ってしまったら、悪い勢力によってやりたい放題やられてしまいますよね。
ですから、バランスが重要だと思います。新しい技術で理解ができないから「なんとくなく怖い」と感じて拒否反応が出ている、というのが今のフィンガープリントを含めた不正検知技術に対する市場の反応かもしれませんね。
起業家はどう向き合うべきか
齋藤:GoogleやApple、欧州などの言っていることをそのまま鵜呑みにするのではなく、それぞれがどのような立場で発言しているのか、冷静に見ることから始めるべきでしょう。つまり、それぞれがポジショントークをしている可能性について、まずは考えてみることも必要だと思います。
そもそも技術自体は悪ではありません。技術はどう使うかでしかないのです。サードパーティークッキーという技術が規制されるなかで、不正検知を実現する技術環境も悪化しています。それであれば、フィンガープリント技術を使って不正検知をする、という選択肢を導入するのも、起業家にとっては一案ですよね。
フィンガープリント技術は導入もしやすく、精度も高い技術なので、選択肢として考えてみてもいいのではないでしょうか。
(編集:創業手帳編集部)
創業手帳は、起業の成功率を上げる経営ガイドブックとして、毎月アップデートをし、今知っておいてほしい情報を起業家・経営者の方々にお届けしています。無料でお取り寄せ可能です。
(取材協力:
明治大学 理工学部情報科学科 教授 齋藤 孝道)
(編集: 創業手帳編集部)
-
創業期に欠かせないリスクマネジメントとは?
-
企業ドクターで独立・開業!これ1つで分かる中小企業の企業ドクターを徹底解説!
-
ついにやってくる消費増税!軽減税率対応など事業者がすべき12の対応をまとめました
-
サービス業向けホームページマーケティングの始め方。戦略・考え方や打ち手の一覧
-
起業の勝敗を左右する。創業直後に実施すべきマーケティングとは?
-
起業家応援キャンペーン中の弥生会計 オンラインを創業手帳編集部が使ってみた!!
