セキュリティ・エンジニアの活きる道

K-SEC TOP OF TOPS講習会2025 セキュリティエンジニアの 活きる道 園田道夫

Who am I ? • 園田道夫(@sonodam) • 国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所 ナショナルサイバートレーニングセンター センター長 • https://nct.nict.go.jp/ • https://cyder.nict.go.jp/ • https://rpci.nict.go.jp/ • 独立行政法人情報処理推進機構(IPA)専門委員 • https://www.ipa.go.jp/security/index.html • 経済産業省、IPAなど主催、セキュリティ(&プログラミング)・キャンプ企画、 講師、実行委員、トラックリーダー、プロデューサー等 • https://www.security-camp.or.jp/ • https://www.ipa.go.jp/jinzai/camp/index.html • GOFU株式会社取締役 • 中央大学理工学研究所客員研究員 • 九州大学非常勤講師 2

• https://nct.nict.go.jp/
• https://cyder.nict.go.jp/
• https://rpci.nict.go.jp/
• https://www.ipa.go.jp/security/index.html
• https://www.security-camp.or.jp/
• https://www.ipa.go.jp/jinzai/camp/index.html

Who am I ? • 総務省サイバーセキュリティタスクフォース構成員 • https://www.soumu.go.jp/main_sosiki/kenkyu/cybersecurity_taskforce/index.html • 厚生労働省医療機関向けサイバーセキュリティ研修委員会委員 • NCOサイバーセキュリティ人材フレームワークに関する検討会構成員 • https://www.cyber.go.jp/council/csjinzai/index.html • SECCON実行委員(事務局長)＆ファウンダー • https://www.seccon.jp/2023/seccon/executivecommittee.html • SecHack365主催・トレーナー • https://sechack365.nict.go.jp/ 3

• https://www.soumu.go.jp/main_sosiki/kenkyu/cybersecurity_taskforce/index.html
• https://www.cyber.go.jp/council/csjinzai/index.html
• https://www.seccon.jp/2023/seccon/executivecommittee.html
• https://sechack365.nict.go.jp/

Who am I ? • 日本ハッカー協会理事 • https://www.hacker.or.jp/association/ • 情報危機管理コンテスト審査委員(サイバー犯罪に関する白浜シンポジウム) • http://www.riis.or.jp/symposium23/crisismanagement/jury/ • AVTokyo主催＆プログラム(ドリンク)委員 • http://ja.avtokyo.org/ • 日本セキュリティ大賞審査委員 • https://security-awards.jp/ 4

• https://www.hacker.or.jp/association/
• http://www.riis.or.jp/symposium23/crisismanagement/jury/
• http://ja.avtokyo.org/
• https://security-awards.jp/

Who am I ? • 2008年、経済産業省商務情報政策局長表彰 • https://www.ipa.go.jp/files/000023964.pdf • 2012年、SecureAsia@Tokyo 2012にてAsia-Pacific Information Security Leadership Achievements(ISLA) Senior Information Security Professional表彰 • https://japan.isc2.org/isla.html • 2018年、情報セキュリティ文化賞受賞 • https://www.iisec.ac.jp/news/20180213culsec_14th.html • 2024年、情報通信功績賞、情報通信月間推進協議会会長表彰 • https://www.jtgkn.jp/wordpress/wp-content/uploads/2024/07/2024hyoushou.pdf • 2025年、Cybersecurity Award 人財育成賞 • https://www.gmo.jp/security/awards/2025/ 5

• https://www.ipa.go.jp/files/000023964.pdf
• https://japan.isc2.org/isla.html
• https://www.iisec.ac.jp/news/20180213culsec_14th.html
• https://www.jtgkn.jp/wordpress/wp-content/uploads/2024/07/2024hyoushou.pdf
• https://www.gmo.jp/security/awards/2025/

主な関係コンテンツ • 監訳：｢ブラウザハック｣,｢ファジング｣,｢ハニーネットプロジェクト｣,｢実践パケッ ト解析第一版｣,｢犯罪捜査技術を活用したソフトウエア開発技法」 • 翻訳：｢実用SSH第二版｣,｢暗号技術大全｣,｢ Snort2.0侵入検知」 • 著作：｢アクセス探偵IHARA ｣, ｢Winnyはなぜ破られたのか｣, ｢アクセスガール明日香危機一髪｣,｢企業情報ネットワークの保護管理｣他 • Web連載：｢にわか管理者奮闘記シリーズ｣ • https://www.atmarkit.co.jp/ait/series/2823/ https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html • 「アクセス探偵IHARAリターンズ」 • https://gihyo.jp/admin/serial/01/ihara-returns • サイバーセキュリティの草の根コミュニティ系勉強会 • https://qiita.com/sonodam/items/2b3add928a7d1ae0f657 • センター長 園田道夫のセキュリティコラム • https://nct.nict.go.jp/column/ • 2025年に日本で出版された情報セキュリティ、サイバーセキュリティ関連書籍 • https://qiita.com/sonodam/items/97b14db690c99ecfbbb1 6

• https://www.atmarkit.co.jp/ait/series/2823/
• https://www.atmarkit.co.jp/fsecurity/rensai/beginner201/beginner01.html
• https://gihyo.jp/admin/serial/01/ihara-returns
• https://qiita.com/sonodam/items/2b3add928a7d1ae0f657
• https://nct.nict.go.jp/column/
• https://qiita.com/sonodam/items/97b14db690c99ecfbbb1

高リスク分野のための機械学習―責任ある AI構築のための実践アプローチ Patrick Hall、James Curtis、Parul Pandey著、高江洲 勲、 伊東 道明、園田 道夫、北條 孝佳、石川 太一訳 本書は、機械学習モデルがもたらす重大なリスクを軽減 し、責任あるAI運用を実現するための実践ガイドです。 特に「高リスク」な意思決定が行われる分野、たとえば 生体認証による識別、重要インフラの管理、教育、雇用、 公共および民間の必須サービス、法執行、移民および国 境管理、刑事司法、そして民主的プロセスなどにおける 事例を重視しています。本書は三部構成となっており、 第Ⅰ部では実践的なアプリケーションの観点から主要な 問題を論じ、第Ⅱ部で構造化および非構造化データの観 点からトピックをさらに深掘りし、実装上の課題や分析 手法を具体的に検討します。第Ⅲ部では現実世界の高リ スクな事例をもとに、成功のための実践的な助言を提示 します。説明可能性、安全性、バイアス、プライバシー などの課題に対し、Pythonベースの実践的ツールを活用 した具体的対策を提供し、実務者が主体的にリスクを管 理できる指針を提供します。 7

研究関係 • 数理モデル的な･･･ • 攻撃検知(分類) • 学習効果の可視化、スキルの可視化 • 設問評価(数学,CTFなど)、設問自動作成 • デマ検知 • 目grepによる攻撃検知 • 感情の定量化による詐欺自動検知 • コミュ力の可視化 • 他多数 8

本編 ITやセキュリティに生成AIの大波が来ている 9

人材不足感 • ISC2のCybersecurity Workforce Study 2024によれば、世界の セキュリティ人材は約546万人。不足とされる数は476万人で、 年を追って増えつつある • アジアは特に多く334万人が不足 • 同調査では日本は17万人が不足となっている • 前年(2023年)の報告11万人から1年で17万人に(前年＋53.8%) • ギャップの伸びとしては世界やアジアの中でも突出(調査内3位) • 人口1.3億人のメキシコの人材数は52.1万人、不足数は11.3万人(前年 マイナス2.1％) https://www.isc2.org/Insights/2024/09/Employers-Must-Act-Cybersecurity-Workforce-Growth-Stalls-asSkills-Gaps-Widen 10

• https://www.isc2.org/Insights/2024/09/Employers-Must-Act-Cybersecurity-Workforce-Growth-Stalls-as-Skills-Gaps-Widen

試算：日本の学校の人材輩出力 • 2021年の数字で日本の大学におけるセキュリティを専門とする先生 の研究室は約150 • https://github.com/akirakanaoka/seclablist • 国立高等専門学校機構(高専機構)では拠点校2校、協力校8校をはじめ、 他の高専41校にもセキュリティが大なり小なり組み込まれている • 他に国立以外の高専(公立、私立)や専門学校も • (参考：進路ネットによると65校。 https://shingakunet.com/searchList/ksl_daitan/jl_kd010/jm_kc120/js _k1080/ ) • これらを合わせると年間多くて3000人程度か(約57年) • (ちなみに中国は高等教育機関626校が学科設置 • https://j.people.com.cn/n3/2024/0914/c94475-20219825.html ) 11

• https://github.com/akirakanaoka/seclablist
• https://shingakunet.com/searchList/ksl_daitan/jl_kd010/jm_kc120/js_k1080/
• https://j.people.com.cn/n3/2024/0914/c94475-20219825.html

膨大な需給ギャップをどう埋めるのか？

変化球？宣伝ｗ？SecHack365 • NICTナショナルサイバートレーニングセンターが主催するU-25 人材育成事業SecHack365は、1年間のハッカソン • ものづくり＋セキュリティ • セキュリティ人材の力を拡大するツールとか研究、コンテンツ ができあがると、人材需給ギャップ解消の大きな力になるかも • 言語OS脆弱性探索ツール演習環境小説芸人アヒルSNS詐欺検知など多数 • https://sechack365.nict.go.jp/ • 過去9年分成果物をこちらで 公開中 13

• https://sechack365.nict.go.jp/

一方アメリカでは • ITエンジニアが余り始めている（！） • https://www.bloomberg.com/jp/news/articles/2025-0514/SW9MHIT1UM0W00 • https://type.jp/et/feature/30493/ • みんながITエンジニアを目指した • コロナ禍でITの需要爆増を想定し大量雇用した • コロナ禍が終わり、AIが急速台頭してきて大量レイオフ • セキュリティエンジニアも一部その流れに巻き込まれている • →ホワイトカラーはもう終わりだ説まで出ているアメリカは、 さすが最先端の社会実験国家（笑） 14

• https://www.bloomberg.com/jp/news/articles/2025-05-14/SW9MHIT1UM0W00
• https://type.jp/et/feature/30493/

日本にも人余りの大波が来るのか？ • 「日本はITエンジニア数が前年比6.9％増と大きく伸長し、世 界4位を維持しています。しかし、その供給源となる「IT分野 の卒業者数」の平均伸び率は2.2％にとどまり、G7で最下位と いう結果になりました」 • https://corporate.resocia.jp/info/news/20260127_itreort_17 • 日本のIT人材数は154万人、対学校需給ギャップが大きく、他 業種からの転換がキーになっている • 人口当たりの数ではアメリカと同じでエンジニア数上位10国 の中で韓国独英仏に次いで5番目 • ITの浸透度を考えるなら、将来的にも需要は強め 15

• https://corporate.resocia.jp/info/news/20260127_itreort_17

アメリカから連れてくれば･･･ I’m not quite sure what to do • 西海岸では年収1000万円で貧乏、 という超物価高で見えない実質 サラリー • 日本に住みたいか？ • 住環境？ • チャレンジ？ • 他の厚遇国と比べてどうか？ • ･･･そもそも日本でIT仕事の口が 存在し続けるのか？ 16

生成AIの大波が来ている • 長年の人手不足から採用コストが上がり続けているため、企業 はAI活用に本気度が高い • 生成AIがシステム丸ごと開発 NTTデータ、IT人材不足に抜本策 • https://www.nikkei.com/article/DGXZQOUC254OB0V21C25A2000000/ • 日立製作所、グループの全28万人が生成AIを利用し知見を蓄積 し顧客に提供 • https://dcross.impress.co.jp/docs/usecase/004577.html 17

• https://www.nikkei.com/article/DGXZQOUC254OB0V21C25A2000000/
• https://dcross.impress.co.jp/docs/usecase/004577.html

システム開発側面での活用 • プログラミング言語を介さずにシステムを開発する能力が飛躍的 に向上 • 当たり前にClaude Code使い倒せる • ただしエキスパートに限る • 世の中には他に、使い勝手はかなり異なるが慣れれば使いやすい ノーコード/ローコードツールもある • プログラミング言語の習得＋αな長年の鍛錬が必須ではなくなる？ 18

AIが生み出す脆弱性？ • Security Vulnerabilities in AI-Generated Code: A Large-Scale Analysis of Public GitHub Repositories • https://arxiv.org/abs/2510.26103 • 87.9%安全。pythonは高い脆弱性率（16.18%-18.50%）、（参考値 JavaScript：8.66%-8.99%、TypeScript：2.50%-7.14%） • Our new report: AI code creates 1.7x more problems • https://www.coderabbit.ai/ja/blog/state-of-ai-vs-human-code-generationreport • 人間が書くコードよりパスワード処理の誤りや不適切な参照処理が多い • こうした弱点を知り、バグを作り込まないような工夫要 • そして、それができるのはエキスパート 19

• https://arxiv.org/abs/2510.26103
• https://www.coderabbit.ai/ja/blog/state-of-ai-vs-human-code-generation-

AIを使って脆弱性を発見する • ペンテスター10名 vs. LLM(Stanford Study: AI Agent ARTEMIS Beats 9/10 Human Pen Testers in Vulnerability Discovery) • https://www.linkedin.com/posts/nasser-bostan-55736b4_comparing-ai-agents-to-cybersecurity-professionalsactivity-7405101732776554496-X0HD • 「Claude Code Security」が登場、コード内の脆弱性をスキャンして修正提案もしてく れる • https://gigazine.net/news/20260224-claude-code-security/ • AIはセキュリティエンジニアになれるのか？ ～GitHub公式AIセキュリティエージェント徹底検証～ • https://zenn.dev/aeyesec/articles/4efb507de930a5 • AIが脆弱性を自動修正する時代へ：OpenAI Codex Securityの衝撃 • https://qiita.com/sarubot/items/05922d10754f0ce90fd7 • OpenAI Codex Security Scanned 1.2 Million Commits and Found 10,561 High-Severity Issues • 「AIがソースコードの脆弱性を自動発見し、検証まで行った上で修正案まで提示する――OpenAIが新たに発表 した「Codex Security」が公開リポジトリ120万件以上を解析し、数千件の重大バグを発見した。」 • https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html 20

• https://www.linkedin.com/posts/nasser-bostan-55736b4_comparing-ai-agents-to-cybersecurity-professionals-activity-7405101732776554496-X0HD
• https://gigazine.net/news/20260224-claude-code-security/
• https://zenn.dev/aeyesec/articles/4efb507de930a5
• https://qiita.com/sarubot/items/05922d10754f0ce90fd7
• https://thehackernews.com/2026/03/openai-codex-security-scanned-12.html

脆弱性を探すコンテスト • PWN2OWN • https://gmo-cybersecurity.com/blog/pwn2own-ireland-2025report/ • https://www.automotiveworld.jp/tokyo/jajp/conference/pwn2own.html • 天府杯 • https://www.tianfucup.com/ • https://forest.watch.impress.co.jp/docs/news/1288055.html • 中国のハッキング・コンテスト「優秀作」、ウイグル弾圧に利用 • https://www.technologyreview.jp/s/243173/how-china-turned-a-prize-winningiphone-hack-against-the-uyghurs/ 21

• https://gmo-cybersecurity.com/blog/pwn2own-ireland-2025-report/
• https://www.automotiveworld.jp/tokyo/ja-jp/conference/pwn2own.html
• https://www.tianfucup.com/
• https://forest.watch.impress.co.jp/docs/news/1288055.html
• https://www.technologyreview.jp/s/243173/how-china-turned-a-prize-winning-iphone-hack-against-the-uyghurs/

トレンドマイクロ配下のZero Day Initiative主催で、年数回世界各地で開催されるガチの脆弱性探しコンテスト。 2025ベルリンでは初めてAIインフラがテーマになり、賞金総額は100万ドルを超えた(107万ドル)。主役は個人研 究者から企業チーム、研究機関からexploitを専門とする企業に世代交代しつつ、しのぎを削っている。日本でも 毎年1月にautomotiveが開催されている。今は欧州とアジア(台湾、韓国、シンガポール)が強い時代。 22 写真：https://www.trendmicro.com/ja_jp/research/25/e/pwn2own-berlin-2025.htmlより引用

• https://www.trendmicro.com/ja_jp/research/25/e/pwn2own-berlin-2025.html

23

脆弱性を自動的に探す(萌芽) • 2016年DARPA主催Cyber Grand Challenge(CGC) • Angr(http://angr.io/) • AFL(American fuzzy lop)(http://lcamtuf.coredump.cx/afl/) • Driller(AFLの拡張)(https://github.com/shellphish/driller) • MAYHEM(記事:CMU Spinoff Wins $2 Million in Cyber Attack Challenge(https://www.cmu.edu/news/stories/archives/2016/august/ cyber-attack-challenge-winner.html)) • SECCONもやってる(た) • https://2018.seccon.jp/2018/07/seccon-2018-x-cedec-challenge.html • https://www.atmarkit.co.jp/ait/articles/1311/26/news033.html • 中国でもやってたけど･･･ 24

• http://angr.io/
• http://lcamtuf.coredump.cx/afl/
• https://github.com/shellphish/driller
• https://www.cmu.edu/news/stories/archives/2016/august/cyber-attack-challenge-winner.html
• https://2018.seccon.jp/2018/07/seccon-2018-x-cedec-challenge.html
• https://www.atmarkit.co.jp/ait/articles/1311/26/news033.html

https://scan.netsecurity.ne.jp/article/img/2016/08/08/38817/20695.htmlより引用 25

• https://scan.netsecurity.ne.jp/article/img/2016/08/08/38817/20695.html

https://scan.netsecurity.ne.jp/article/img/2016/08/08/38817/20695.htmlより引用 26

• https://scan.netsecurity.ne.jp/article/img/2016/08/08/38817/20695.html

コンテストの系譜 • DEF CON 33、AIxCC • https://ascii.jp/elem/000/004/153/4153955/ • https://ledge.ai/articles/ai_cyber_challenge • https://aicyberchallenge.com/final-competiton/ • DARPA、AIサイバー・チャレンジの優勝者を発表 • https://crds.jst.go.jp/dw/20250908/2025090843024/ • https://therecord.media/darpa-ai-code-competition-winner-def-con • 競技は54百万行のコードに埋め込まれた模擬脆弱性をAIシステムで検出・修正する 内容で、全体で54件中43件（77%）の修正に成功。ツールは4つ即時公開、他も順次 • AIxCCからの成果：OSS-CRS: Liberating AIxCC Cyber Reasoning Systems for Real-World Open-Source Security • https://arxiv.org/abs/2603.08566v1 • https://note.com/3no_anisama/n/nd3262dded81d（日本語ブログ解説） 27

• https://ascii.jp/elem/000/004/153/4153955/
• https://ledge.ai/articles/ai_cyber_challenge
• https://aicyberchallenge.com/final-competiton/
• https://crds.jst.go.jp/dw/20250908/2025090843024/
• https://therecord.media/darpa-ai-code-competition-winner-def-con
• https://arxiv.org/abs/2603.08566v1
• https://note.com/3no_anisama/n/nd3262dded81d

AIが不得意そうな領域も･･･ • ChatGPT4のo3を使ってLinuxの ksmbdゼロデイ脆弱性を見つけた、 というブログ • https://sean.heelan.io/2025/0 5/22/how-i-used-o3-to-findcve-2025-37899-a-remotezeroday-vulnerability-in-thelinux-kernels-smbimplementation/ • ゼロデイ（！） illustrated by ChatGPT with prompt: Ms. Vulnerability 28

• https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/

ベンチマーキング中にゼロデイ発見 • 脆弱性探索を自動化含めて研究している著者が自ら発見したksmbd の探索結果をベンチマークに使ってo3の探索力を試してみた →Benchmarking o3 using CVE-2025-37778 • 38778は著者自身が手動で見つけたケルベロス脆弱性 • use after freeというタイプの脆弱性(解放されたメモリを参照するメ モリ破壊の脆弱性)で、ログオフ時の認証処理にメモリ管理の問題が あることが原因 • 特徴的なのは探索にはとても複雑なネットワークプロトコル経由の 認証機構への理解が必要。 o3はその道筋を辿って新たなゼロデイ(CVE-2025-37899)を発見した • →今後この研究成果がエキスパートによって社会実装されれば･･･ 29

AI脆弱性探索能力にはベンチマークも • AIは脆弱性を発見できるのか？スタンフォード大の研究者らがAI エージェントの能力を評価 • ｢実際のソフトウェアを対象に攻撃と防御の両面からAIの能力を測定する世界 初のフレームワーク「BountyBench」について解説します。｣ • https://thinkit.co.jp/article/38421 • このあたりを整えていくのもエキスパート • 年間約45000件発見される脆弱性を大幅に減らせるか？ • 犯罪者たちの物量作戦、またはソフトウエアやデータの物量そのも のに負け続けてきたこの図式を変えられるか • それらの仕組みを社会実装していくのもエキスパート 30

• https://thinkit.co.jp/article/38421

問題：脆弱性探索力が向上すると？ • 善人と悪人、両方の脆弱性探索力が同等、かつ爆発的に向上す ると、社会は良くなる？悪くなる？ • 脆弱性の数が激減する vs. 悪人が利活用する →どちらの社会的インパクトが大きい？ 31

そんなに良いことばかりではない（笑） • .env(2026年3月、Claude Codeを利用した開発中にプロンプトイン ジェクション攻撃を受け、Google広告のMCCアカウントが乗っ取 られるというインシデントが報告されました) • https://qiita.com/NF0000/items/6743216583b66168ec12 • 「株式会社プロパゲートの松岡さんの動画で、MCCアカウント （複数のGoogle広告アカウントを一元管理するための、管理用アカ ウント）が乗っ取られ、勝手に広告を出されて5,800万円分の広告 費が無駄に配信されてしまった事例が紹介されました。」 • https://peccolis.com/mcc-security/ • Claude Code での開発における認証情報管理: .env をやめて Bitwarden CLI を使うようにした • https://qiita.com/AllegroMoltoV/items/74fce57d602991857107 32

• https://qiita.com/NF0000/items/6743216583b66168ec12
• https://peccolis.com/mcc-security/
• https://qiita.com/AllegroMoltoV/items/74fce57d602991857107

問題：これらの事象は何を示唆するのか？ • Claude Codeに重大な脆弱性 設定ファイル経由でRCEやAPIキー窃取の恐れ • https://www.itmedia.co.jp/enterprise/articles/2602/28/news013.html • Claude Codeにバックドア入りOSSを渡したら、何の疑いもな く実装した • https://qiita.com/NF0000/items/66510f959b1c22f011a7 • メールやサーバ権限などを与えた自律AIによる実環境2週間の 大暴走実録、「情報漏洩」「DoS状態」「リソース大量消費」 など11の失態発覚 • https://www.techno-edge.net/article/2026/03/14/4925.html 33

• https://www.itmedia.co.jp/enterprise/articles/2602/28/news013.html
• https://qiita.com/NF0000/items/66510f959b1c22f011a7
• https://www.techno-edge.net/article/2026/03/14/4925.html

まだまだ未成熟 • AI同士が“核兵器が使える戦争ゲーム”で対決→核の発射率は 95％、英国の研究者が報告 • https://www.itmedia.co.jp/aiplus/articles/2603/09/news022.html • OpenAIの論文：Stress Testing Deliberative Alignment for AntiScheming Training • https://www.medianama.com/wpcontent/uploads/2025/09/stress_testing_antischeming.pdf • ｢そういう行動をとることを前提としたテストにおいて、o3は13%、 o4-miniは8.7%の確率で『見つかりにくい形でルールを破る行動』を する｣｢監視時は誠実に振る舞い、監視が外れると欺瞞行動が11％増え る｣｢安全訓練によって欺瞞がより巧妙化する｣ 34

• https://www.itmedia.co.jp/aiplus/articles/2603/09/news022.html
• https://www.medianama.com/wp-content/uploads/2025/09/stress_testing_antischeming.pdf

自己保身から脅迫とな（笑） • 【恐怖】AIエージェントが社員 を脅迫した実話｜2026年最大の セキュリティ事件を徹底解説 • https://qiita.com/emi_ndk/ite ms/1534e672ead63226db91 • →まだまだガイドラインや法律 の整備が必要だし、AIの説明可 能性(Explainable AI：XAI)の追求 と実装が社会として必要 35

• https://qiita.com/emi_ndk/items/1534e672ead63226db91

今後のITまわりの状況 • 人材充足状況はAI活用度によって大きく変わるが、それ以上に 大きな変化は、(おそらく)システム開発＝ユーザー企業の内製 化の流れが加速すること • AIによってシステム構築のハードルが劇的に下がる • 人間に残されるのは、ビジネスロジックを考えたり改良した りする部分 • SaaSばかりか、システムインテグレーター(SIer)も危うい？ • AIを使いこなすSIer(＝低コスト)のみが生き残るチャンスがある？？ • ビジネスロジックを良く知るインサイダー(その組織の中の人、 業界の人)がシステムを作る力を手に入れたら･･･ 36

今後のセキュリティまわりの状況 • 悪人の物量作戦や自ら作り出すデータの物量に負けている分野 では、生成AIやAgentic AIのもたらす恩恵が大きい • マルウェア解析、フォレンジック的な解析、ログ解析など • AIセキュリティのCoWorker、国内初の自律型動的マルウェア解析AIプ ラットフォーム「Blue Agent for マルウェア解析」を発表。AIが解析 を進め、人は判断に集中 • https://prtimes.jp/main/html/rd/p/000000019.000156001.html • 例えばOpenClaw的な何かは、セキュリティ領域にも大きな恩 恵をもたらすのでは？ • 軽便な実装が実現すればSOC的なタスクも • 取扱注意ポイントが社会的に整理できれば実用性が高まる • https://forbesjapan.com/articles/detail/93270 37

• https://prtimes.jp/main/html/rd/p/000000019.000156001.html
• https://forbesjapan.com/articles/detail/93270

判断できる人？ • もの(システム)づくりの場は、脆弱性探索含め劇的に変化する • セキュリティ分野は大量データの解析まではできるが、それ を材料として判断するのはまだまだ人間 • AIは正解の無い領域は不得意 • 判断できる人に必要なのは、(疑似的にでも)経験値と知見と、 さまざまな修羅場、あるいは現場に横たわる非言語的な部分 • ＝エキスパート力 エキスパートって単語 何個目だよ（笑）！ 38

エキスパートのジレンマ • エキスパートになるには経験によって得られる非言語化領域の 感覚が必要 • その経験をする場を、AIによって奪われるジレンマ • 既存のデータを学習しているAIは得意領域ですら完璧ではない ので、人間(エキスパート)によるチェックや補完が必要 • ってもしかしてこれトリレンマか（笑） • →内製の系譜であればまだしも伝承の可能性があるが 39

エキスパート： 生成AIのおかげで 生産性爆上げだ！ 若手技術者： 生成AIのおかげで 成長する機会が無い(泣) AIが作ったものの品質を チェックできる エキスパート不足 illustrated by ChatGPT

ドイツ、ライプツィヒ、CCCにて なぜかロケットが出て きてるけど、イノベー ティブな象徴ってこと なのかな（笑） 41

セキュリティのエキスパート？ • システム開発的IT現場とは異なり、セキュリティの場合実経験 をがんがん積み上げられることがそもそも稀な領域もある • そんな領域でのエキスパート育成のために、疑似的に経験値を 上げるための仕組みを互助会的に多数用意している • CTFの攻防戦、やられサイト的なもの、Hack the Box的なもの、シ ミュレーションゲーム、ロールプレイ型演習など • ＝手が必要なのにエキスパートが育たない、というトリレンマ には陥らないで済みそう(少なくとも当面は（笑）) 42

セキュリティ仕事は謎解き • 謎解きが多い領域＝正解が無いので、解かれたことがこれま で一度も無いか、極小回であるならば、人間がAIの力を借りて 謎解きしていくことになる • 解かれた謎を確率モデルに学ばせることは、これもまたいろ いろと難しい（笑） • →AI浸透後も謎解きが必要な領域は人間の担当であり続けるが、 カバーすべきパターンが数学的に少ない領域については、(エ キスパートがチェック＆補完するにせよ)AIが仕事の大半をこ なすようになるだろう こういう見方で戦略的に キャリアパスを考えて欲しい 43

セキュリティが相対するのはシステムだけではない • システムがいくら堅固になっても、人間という弱点は残る • ここの切実さがセキュリティ以外のITという領域とは異なる • 人間を改善する、or人間＋システムを改善するアイディアが必要 • 例：人間を直接的に行動変容させるアイディア • 例：行動変容できない領域を補うシステムのアイディア • 例：人間の認知のバグを補正、もしくは補完するアイディア • 内製でなくても挑める部分＝ユニークビジネスになり得る • ＆確率モデルにはユニークなアイディアを生み出す力を実装できない 44

組み合わせは強力なアイディア力 • のひとつ（笑） • できるだけ突飛な組み合わせ、異質な組み合わせを考えられるよう に自分とその周囲を整える • ｢組み合わせ｣の異質さの距離のために自分の｢幅｣を拡げ続ける また • 1日100個、くだらなさを厭わないアイディア量産 • 組み合わせが効く • 例：セキュリティ＋カレー • 例：セキュリティ＋植物 ロケット （笑） • 王道、邪道、バカ • 散歩し、木々の緑(重なり合うフラクタル図形)を 見て、風呂に入ってアイディアを量産する習慣 • 課題について考え続ける習慣 45

ドイツ、ライプツィヒ、CCCにて 46

心理学者 サイモン・バロン＝コーエンのES理論 • E=Empathizing(共感)＝人の感情・意図・社会的文脈を理解する能力 • 相手が何を感じているか読み取る • 空気を読む • 人間関係の微妙なニュアンスを理解する • S=Systemizing(システム化)＝仕組み・規則・因果関係を理解する 能力。「Aが起きるとBが起きる」というルールを探す思考 • パターン発見が得意 • 因果関係を強く求める • ルールがある世界を好む • 構造化された問題に強い • 仕組みを作ることが好き • →プログラミング的な、システムを解像度高く想像できる能力そのもの 47

Systemizing能力を伸ばす • ＝プログラミング関連の教育 対象年齢 推奨ツール 特徴と効果 ルート、Botley、Timbo スクリーンフリー。カードやボタン、あるいは自分の動き （モーション）でロボットを動かし、「手順」と「結果」 の因果関係を体で覚えます。 Scratch, Springin' ビジュアルプログラミング。 ブロックを繋げてゲームを作 る中で、「条件分岐（もし〜なら）」や「ループ（繰り返 し）」の概念を直感的に学びます。 高学年 (10~13歳) Minecraft, Sphero 創造的ハック。 既存のゲーム（マイクラ）に自動化の仕組 みを組み込んだり、球体ロボットを複雑に制御したりして、 現実世界とプログラムを繋げます。 中学生以上 Swift Playgrounds, AIエ ディタ テキストコーディングへの移行。 AIチャットボットを「ペ アプログラマー」として使い、対話しながらエラーを解決 する「デバッグの作法」を習得します。 幼児 (4~7歳) 低学年 (7~10歳) 48

Systemizing能力を伸ばす • ＝プログラミング関連の教育 対象年齢 推奨ツール 特徴と効果 ルート、Botley、Timbo スクリーンフリー。カードやボタン、あるいは自分の動き （モーション）でロボットを動かし、「手順」と「結果」 の因果関係を体で覚えます。 Scratch, Springin' ビジュアルプログラミング。 ブロックを繋げてゲームを作 る中で、「条件分岐（もし〜なら）」や「ループ（繰り返 し）」の概念を直感的に学びます。 高学年 (10~13歳) Minecraft, Sphero 創造的ハック。 既存のゲーム（マイクラ）に自動化の仕組 みを組み込んだり、球体ロボットを複雑に制御したりして、 現実世界とプログラムを繋げます。 中学生以上 Swift Playgrounds, AIエ ディタ テキストコーディングへの移行。 AIチャットボットを「ペ アプログラマー」として使い、対話しながらエラーを解決 する「デバッグの作法」を習得します。 幼児 (4~7歳) 低学年 (7~10歳) 49

アイディア＋システム創造力＋セキュリティ • SecHack365前に、そこに来るべき資質を持った若者たちをど う発掘し、誘導するか＝SecHack0(セックハッコー) • 教材やワークショップツールを開発 • アイディア＋システム化＋セキュリティ(脅威モデリング)の ワークショップ(出張授業) • 30年後の未来の道具を考え、 • 脅威モデリングの思考法は そのセキュリティを考える ビジネス＋セキュリティ 50

51

そして言葉の力 • ＝言葉を使ったプログラミング能力 • 日本語もしくは英語を使って、いろいろ言い換えたりアプ ローチを変えたりしながら、生成AIに創造的な指示を行う能力 • プログラミングと同様に比喩力や語彙、言い回しに関する知識 が必要 • 傍証：優れたプログラマーには読書家が多い • 言葉のプロが書いた本(コンテンツ)を読もう！ 52

53

54

55

まとめ • IT業界激震中。日本の人手不足は未だ深刻だがアメリカは余ってる • 日本のセキュリティ業界の人材不足数は増え続けている • システム開発面では、AIの存在感がすごいことになってる • 脆弱性探索のAI実装がすごいことになってる • 今こそ企業は内製化をめざせる • 人間はビジネスロジックをAIに教え込む側に回る • そんな時代に求められる人材像は、経験値含むエキスパート力、人 間をサポートするアイディア、システム化思考、言葉の力 • セキュリティはエキスパートになりやすい？ 56

最後に このセッションで紹介したおもしろそうなことは すでに誰かがやり倒している ユニークなおもしろさを見出すのはそれほど難しい だからこそおもしろい

PostScript 58

まとめ再掲しつつQ&A Time • IT業界激震中。日本の人手不足は未だ深刻だがアメリカは余ってる • 日本のセキュリティ業界の人材不足数は増え続けている • システム開発面では、AIの存在感がすごいことになってる • 脆弱性探索のAI実装がすごいことになってる • 今こそ企業は内製化をめざせる • 人間はビジネスロジックをAIに教え込む側に回る • そんな時代に求められる人材像は、経験値含むエキスパート力、人 間をサポートするアイディア、システム化思考、言葉の力 • セキュリティはエキスパートになりやすい？ 60