セキュリティ有識者が語るサイバーセキュリティのあるべき姿とは－覗き見防止機能「HP Sure View」搭載PC体験レビュー

あらゆる業種でリモートワークが当たり前のものとなり、オフィスとリモートを共存させたハイブリッドワークに舵を切る企業も増加傾向にある現在、もっとも身近な業務ツールであるPCのセキュリティ機能にも変化の兆しが現れている。デジタル庁が政府情報システムの基本概念として推進する"ゼロトラストアーキテクチャ"は、利便性とセキュリティの両面を確保するという考え方に基づいた概念・手法であり、PCセキュリティにおいても、利便性の向上を前提とした対策が求められるようになった。本稿では、環境省や経済産業省のCIO補佐官を務め、現在は順天堂大学 健康データサイエンス学部 健康データサイエンス学科の准教授として"セキュリティをデータで分析する"ための取り組みを進めている満塩 尚史 氏に、サイバーセキュリティ市場の最新動向と、そこから導き出されるPCセキュリティの本質について話を伺った。

※本掲載内容は「TECH+」に掲載した内容を転載したものです。

利便性を高めたうえで、セキュリティを維持することが大切

監査法人のコンサルファームでキャリアをスタートし、セキュリティのコンサルティングやシステム監査といった業務に携わってきた満塩氏。2003年には業務の一環として環境省のCIO補佐官に就任し、政府のシステム・セキュリティアドバイザーとして活躍。2011年からは経済産業省のCIO補佐官を務めたほか、デジタル庁の立ち上げにも携わり、さまざまなプロジェクトでセキュリティ面でのアドバイスやレビュー、脆弱性検査などを行うチームリーダーを担ってきた。現在は順天堂大学の健康データサイエンス学部でセキュリティに関する教鞭を執りながら、政府のセキュリティ関連会議メンバーや講演などセキュリティ有識者として活動を続けている。満塩氏は、政府情報システムにおけるサイバーセキュリティの基本的概念であり、場所を問わない柔軟な働き方を実現するうえで重要な概念・手法として民間企業においても注目を集めているゼロトラストアーキテクチャについて、次のように語る。

「ゼロトラストアーキテクチャを、単にセキュリティを向上させる手法・機能と誤解されている方も多いのですが、実際にはアーキテクチャ、すなわち構造・枠組みを変えることで、利便性の向上を実現するものといえます。『利便性を高めたうえでセキュリティを維持する』という考え方で、単純にセキュリティを強化するものではありません」（満塩氏）

セキュリティと利便性は背反するものというのは古い考え方であり、現代のセキュリティ対策では、利便性の向上を前提にセキュリティを維持するという考え方が大切と満塩氏。リモートワークが普及した昨今では、トラディショナルなセキュリティ対策を見直すことが求められていると話を展開する。

「ランサムウェアなど巧妙化したサイバー攻撃が横行していることもあり、ハッカー（サイバー犯罪者）はネットワーク経由で攻撃を仕掛けてくるという考えのもと、セキュリティ対策を講じられている企業・組織は多いと思います。もちろんその対策も重要なのですが、働き方が多様化した現在においては、トラディショナルな攻撃手法であるソーシャルエンジニアリングへの対策も、もう一度考えていく必要があります。その1つがショルダーハッキング、いわゆる覗き見の防止です」（満塩氏）

働き方が変化した今だからこそ、トラディショナルなセキュリティ対策を見つめ直すべき

PCを開いて作業をしている人の背後からPCを覗き見し、業務文書やメールの内容、ID、パスワードといった情報を盗み出すショルダーハッキングに関しては、リモートワークが普及する以前から対策を講じている企業は多かったという。実際、情報セキュリティリスクに対応するための具体的な対策を示した標準である「JIS Q 27002」においても、「公共交通機関において機器（例えば、モバイル又はラップトップ）上の情報を見ること、及びのぞき見に関連するリスクに対して保護する」と管理策例が記載されている。

「昨今では、電車のなかでもPCを開いて作業されている方が増えており、意図せずに作業内容が見えてしまったという方も多いと思います。悪意を持った第三者に個人情報やID、パスワードを見られてしまうと、インターネット上で公開されたり、ネットワーク経由のサイバー攻撃に使われたりして、甚大な損害を被る事態を引き起こしかねません。ただ、覗き見防止対策そのものは今に始まったものではなく、以前からJIS Q 27002を引用して覗き見防止対策のポリシーを策定する企業・組織も少なくありませんでした。各省庁が守るべきセキュリティポリシーをまとめた「政府機関等のサイバーセキュリティ対策のための統一基準」や、厚生労働省が医療機関向けのガイドラインとして策定した「医療情報システムの安全管理に関するガイドライン第6.0版」などにもクリアスクリーン対策の文脈で権限がない人にPC画面を見られない仕組みの必要性についての記述があります。オフィスワーク中心の時代においても覗き見防止対策は講じられていました」（満塩氏）

満塩氏は、入館証や生体認証など物理的なセキュリティ対策でオフィス内に悪意ある第三者の侵入を制限できたことで、従業員のショルダーハッキングに対するセキュリティ意識が薄くなっていると語り、移動中の交通機関や喫茶店などで業務を行う際に、注意を怠ってしまう要因になっていると警鐘を鳴らす。

「今までのPCセキュリティは、PCで作業する場所の物理的セキュリティがまずあったうえで、PCでもセキュリティ対策を講じる形でした。つまりオフィス内のセキュアな状況下でPCを使うことが前提となっていたのです。ですが昨今、ユーザーの利便性を高めるためにリモートワークが導入されるようになり、トラディショナルなセキュリティ対策を見直す必要が出てきました。その際には、利便性を損なわずにセキュリティを担保できることが大切となります」（満塩氏）

ショルダーハッキング対策としては、ユーザーが一人ひとり覗き見を意識してPCを利用することを前提に、物理的なプライバシーフィルター（覗き見防止フィルター）をPCのディスプレイに装着するか、プライバシーフィルター機能を実装したPCを利用するといったアプローチが一般的といえる。ところがプライバシーフィルターを使うと、どうしても画面の視認性が損なわれるため、セキュリティが担保されている場合はフィルターを外すといった使い分けが必要になる。ユーザーにとっては、本来の業務ではない作業に時間を取られることになり、利便性が低下してしまう。これでは利便性の向上を前提にセキュリティを維持するというゼロトラストアーキテクチャの考え方を実践することはできない。

こうした状況の中、ユーザーに負荷をかけることなく覗き見を防止できる仕組みとしてデジタル的なプライバシーフィルター機能を実装したPCが注目されている。フィルムやシートなど物理的なフィルターにおける着脱の手間を省けるほか、付け忘れによるセキュリティリスクも抑制できるなど、利便性とセキュリティの両立を実現する機能だ。日本HPでは、デジタル処理で覗き見を防止するプライバシーモード「HP Sure View」を搭載したPCを多数ラインナップ。オフィス外の業務を安全かつ快適に行えるようになり、スキマ時間を有効活用できる業務ツールとして期待が高まっている。

利便性を損なうことなく、覗き見を防止する「HP Sure View」搭載PC

HP Sure Viewは、ノートPCの画面を斜めの角度から見た際に、表示されている内容を見えにくくすることで覗き見による情報流出リスクを軽減するプライバシースクリーンソリューションで、日本HPが提供する法人向けPC製品に搭載されている。ファンクションキーを押すだけで機能のオン・オフを切り替えられるため、オフィス内ではオフにして視認性の高い画面で作業を行い、外出先ではオンにして覗き見を防止するといった使い分けがスムーズに行える。同じことを物理的なプライバシーフィルターで行おうとすると、シートの着脱に手間がかかったり、外したシートを置き忘れたりといった問題が生じ、利便性を重視して外したままにしてしまうユーザーも出てきてしまうと満塩氏。実際にHP Sure View機能を搭載したPCを使用したうえで感じた、プライバシースクリーンソリューションの優位性について言及する。

「物理的であれ、デジタルであれ、PCのプライバシーフィルター機能を使うと画面が若干暗くなり、ユーザーの利便性に影響を及ぼします。作業を行う環境によっては使いづらいと感じることもあります。このため、リスクベースの考え方で、利用シーンや作業内容に応じてオン・オフを切り替えるというアプローチが有効となりますが、物理的なフィルターを着脱するのは手間がかかります。その点、HP Sure Viewのようなデジタル的なプライバシースクリーンソリューションならば、ワンプッシュで切り替えられるのでユーザーに負荷が小さいです。私自身、毎日のように届く膨大なメールの確認や返信を、外出中のスキマ時間で行っていたりするのですが、その際にリスクベースの判断で切り替えできるのは生産性向上に非常に有効だと感じました」（満塩氏）

「HP Sure View」はワンタッチで周囲ののぞき見を防止できる

満塩氏は、覗き見などのソーシャルハッキングを"もっとも簡単に行えるハッキング行為"と位置付け、身の回り100mのセキュリティを意識することの重要性に言及。ユーザーの判断で容易に機能のオン・オフを切り替えられるプライバシースクリーンソリューションは、ユーザーにセキュリティ意識を持ってもらうという意味でも効果的と説明する。

さらにHP Sure Viewでは、AI技術を組み合わせることで、自動的にプライバシーモードのオン・オフを切り替える機能も利用可能。PCに搭載されているカメラを利用し、第三者が背後から画面を覗き込んでいると判断すると自動的に機能がオンになる。ユーザーに何らかのアクションを求めることなく、セキュリティを担保できるという仕組みだ。これは満塩氏が研究を推進している"デジタルトラスト"という文脈においても有効な機能になるという。

「ここまで述べてきたように、セキュリティ対策においても最終的にユーザーの判断が必要となるケースが出てきます。デジタルトラストは、この主観的な判断をサポートするために、システムの信頼性に関する情報をユーザーと共有するためのアーキテクチャであり、AI技術で機能のオン・オフを自動で行うこともデジタルトラストの活用例の1つと考えることができます」（満塩氏）

満塩氏は"セキュリティの限界を知ること"が、対策を講じるうえで不可欠と語り、"完全なセキュリティ"というものは存在しないと話を展開する。「導入するだけですべてのサイバー攻撃を防いでくれるようなセキュリティ製品はありません。ユーザーが製品に実装されている技術や機能を完全に理解する必要はありませんが、セキュリティの限界点を把握したうえで判断を行うことが大切です」と説明。デジタルトラストで主観的な判断をサポートすることが、今後のサイバーセキュリティを考えるうえで重要になると語る。

Copilot+ PCがもたらす生産性向上と、AIの進化で見直すべきセキュリティ対策

デジタルトラストを推進し、これからの時代に即したセキュリティ対策を考えるにあたっては、近年の技術トレンドといえるAIの活用も考慮する必要がある。昨今では、クラウド上のLLMを利用するクラウドAIだけでなく、PCやサーバーなどの端末（デバイス）上でAI処理を行う「エッジAI（オンデバイスAIやローカルAIとも呼ばれる）の有用性が注目されており、PC自体に高いAI処理性能が求められるようになってきている。

いわゆる「AI PC」とは、AI処理に特化した専用プロセッサである「NPU（Neural Processing Unit）」を搭載したPCの総称であり、AIの推論処理を高速かつ低消費電力で実行することができる。「Copilot+ PC」は、こうしたAI PCの中でも、マイクロソフトが定義した要件（40TOPS以上のNPU、16GB以上のメモリなど）を満たし、NPUを活用する独自のローカルAI機能を利用できるPCを指す。

Copilot+ PCで利用できる独自AI機能の1つが「Click to Do（クリックして実行）」だ。画面に表示されているテキストや画像をAIが認識し、コピー＆ペーストやWeb検索などのアクションを直感的に実行できる。操作の手間を最小限に抑えることで作業時間を短縮し、ユーザーは集中力を途切れさせることなく業務に注力できるようになる。

AIが画像を判断し、ワンクリックで画像検索や背景の切り抜きなどを実行できる

また、Copilot+ PC専用のAI機能である「Recall（リコール）」は、数秒ごとにデスクトップ画面をスナップショットとして記録し、その内容をローカルAIで解析することで、過去の作業を遡って検索できる機能だ。自然言語による検索に対応しており、アプリやWebサイトなどのソースを問わず、作業履歴から目的の情報に素早く辿り着けるのが特長となっている。

視覚的なタイムラインで振り返るだけでなく、あらゆるソースを対象に検索ができる

このように、Copilot+ PCはユーザーの利便性を向上させ、生産性を高めるためのAI機能を使える製品として個人用途・法人用途を問わず注目されている。満塩氏は、AIをはじめとした最新テクノロジーによる利便性の向上を評価したうえで、その恩恵を享受するためにはセキュリティの再構築が必要になると力を込める。

「AI技術の進化は想像以上に速く、今までできなかったことを可能にしています。『利便性を高めたうえでセキュリティを維持する』という考え方に基づけば、使わない理由はありません。ただし、これまでできなかったことができるようになると、これまで安全だった部分にセキュリティの抜け穴が生じる可能性があります。このため、新たなテクノロジーで利便性の向上を図る際には、セキュリティ面での見直しが求められます。またAI技術については、利便性向上はもちろん、セキュリティ対策にも効果的な活用が期待されています。そういった面も含めて、いわゆる働き方改革は新たなフェーズに入ったと感じており、セキュリティに関しても、改めて考えていく必要があると考えています」（満塩氏）

※コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。