吉岡

すごく嬉しいです。論文を書いて賞をもらうことはありますが、研究成果を広く世の中に発信するということはあまりやってきませんでした。意外な方々から「見ましたよ！」「おめでとうございます！」という嬉しい反応をいただき、これまでにはなかった手ごたえを感じています。学術の世界で成果を出すのとはひと味違う喜びを味わっています。

佐々木

私も同じ思いです。元々民間企業の研究所出身なので、研究の成果を製品やサービスで世の中に出していくことをいつも考えてきました。大学に移ってからも良い研究成果が出たらそれを社会に展開して世の中をより良くしたいという気持ちを持ち続けているので、今回評価いただけたのはとても嬉しく思っています。 「am I infected?」のサービスは、お客様に来ていただくことで成果・効果が生まれますから、今回の受賞が宣伝材料になってより多くの方々に知って使っていただいて、エコシステムをぐるっと回すことができればなと願っています。そういう観点からもとてもありがたいですね。

吉岡

吉岡

はい、一足飛びに「am I infected?」が完成したわけではありませんでした。その前段のステップとして国立研究開発法人 情報通信研究機構（NICT）の委託研究「Web媒介型攻撃対策技術の実用化に向けた研究開発」（略称、WarpDrive）がありました。簡単に説明すると、パソコンとスマートフォン向けアプリを使ったユーザー参加型実証実験で、ボランティア参加者に無償のセキュリティアプリをインストールしてもらい、マルウェアに感染していないか、脆弱性がないかセキュリティ診断を行って、その結果をお知らせするというものです。横浜国立大学もプロジェクト受託者として参加していました。 5年にわたるプロジェクトでしたが、最大の課題はユーザー数がなかなか増えないことでした。トータルの登録数が1万人強程度、デイリーアクティブユーザーはその12％程度でした。アプリをインストールすることへのハードルの高さが原因でした。 プロジェクトへの入り口の敷居をできる限り低くすることが肝だと痛感しました。アプリではなくウェブで、ユーザーアカウントは作らない、メールアドレスだけはいただくけれども1分もかからないうちに登録が終わるようにする。それが「am I infected?」の基本条件となりました。おかげでこれまでに10万人以上の方々に使っていただきました。

吉岡

はい、コロナの「PCR検査」が「am I infected?」のヒントになりました。当時、自分が感染していることに気づかずに街を出歩いて他人を感染させてしまうということが問題視され、PCR検査を受けることが推奨されていました。感染症全般に言えることですが、自分自身が感染しているかいないかを知ることは感染拡大を抑制するうえで非常に重要です。 サイバーセキュリティも全く同じだと思いました。使っているネットワーク機器がマルウェアなどに感染していないかを簡易な検査でいつでも自分で調べられるようにすれば連鎖的な感染拡大を防ぐことができる、自分自身の状況を知ることが他の人を助けることになる、という基本的な発想を得たのです。実は当初、「サイバーPCR」という名称も考えていたほどです。ただ、世界的パンデミックの大混乱と、多くの人たちが苦しんでいる悲惨な状況の中で、軽率なネーミングはできないと考えて採用には至りませんでした・・・。

佐々木

佐々木

前例がないということに尽きるように思います。「こういう社会的メリットがある」という資料を作って、学内の関係者に丁寧に説明して回りました。皆さん、とても前向き、協力的で、どうすればうまくいくかを一緒に考えていただけました。

吉岡

大学の基幹サービスは研究と教育であって、それを支えるための仕組みやリソースは整っています。ですが、「am I infected?」はその枠組みに収まらないものだったのです。いち研究室が一般向けサービスを提供して大丈夫なのかと心配する向きがあってもおかしくなかったと思います。 話が前向きに進んだのは、ベースに信頼関係があったからだと思います。私たちの研究室は長年大学の情報システム部門と密接な関係にあって、大学システムのインシデント対策や脆弱性対策などにも協力してきました。私自身は大学のCISO（情報セキュリティ統括責任者）も務めています。そうしたことが全体的にプラスに評価されて、「あの研究室なら大丈夫だろう。前向きに進めよう」という支援をいただけたのだと思っています。

佐々木

おっしゃる通りです。 ユーザーアンケートの結果を見ると、「サイバーセキュリティ関連の営利企業ではなく、横浜国大が学術として取り組んでいるのだから信用できた」といったフィードバックがありました。

吉岡

その点は、すごく重要なポイントです。実は「am I infected?を商用化しませんか？」というお声がけをいただくことがあるのですが、慎重に考えなければならないと思っています。利益を追うマーケティング活動ではなく、学術機関の研究であることが信用の礎になっているからです。未来永劫、何一つ絶対に商用化しないというわけではないのですが、ユーザーの皆さんの信頼を裏切るようなことはできないと思っています。

吉岡

ご指摘の通り、「am I infected?」はサイバー攻撃を観測したり、マルウェアを解析したりするような工学的な研究だけにとどまりません。相手は人間です。参加してもらい、問題を理解してもらい、行動に移していただかねばなりません。社会学的要素が入ってくるわけです。 情報セキュリティが社会的な問題になっている昨今、この状況は技術だけでは解決できないという認識が学術界では広がっています。サイバーセキュリティアワードの趣旨にあるように、専門家だけでなく一般の方々にもこの状況を知っていただき、社会全体の理解度を高めていかなければ対応できなくなっているからです。そのため、社会学的アプローチが研究分野としても注目されているのです。様々な研究成果が発表され、それらが次の研究の土台になっていくというサイクルが回り始めています。 実際、「am I infected?」で収集したデータを分析して執筆した論文が、世界トップクラスの学術カンファレンスに採択され、8月にアメリカで発表することが決まっています。佐々木先生が主著者です。

佐々木

USENIX Security という学会があり、そこで私が発表する予定です。ユーザーアンケートのデータを基に、サービスのどこが良かったか、悪かったか、問題をどの程度改善できたか、改善できない場合その理由は何か――といった情報を基に、ユーザーの感じ方、どのような行動につながったかなどをまとめています。 得られた知見の一つは、感染が見つかなかった場合でも、それが「安心感」を与えており、ユーザーにとっての価値につながっているということです。私たちはずっと感染を見つけて対処することがこのサービスの価値だと思っていたのですが、意外な結果が得られたのです。ユーザーの声を聞いたことによって、隠れた価値に気づくことができました。そのあたりも論文に盛り込んで発表する予定です。

吉岡

フォッグ行動モデルという理論があります。「B＝MAP」（ビーマップ）と呼ばれるもので、BはBehavior（行動）、MはMotivation（動機）、AはAbility（能力）、PはPrompt（きっかけ）です。つまり、やる気、能力、きっかけが揃うと人は動くというわけです。サイバーセキュリティの普及啓発にこの理論を適用できるのではないかという仮説を提示しています。「am I infected?」が多くの「Ｂ（行動）」を触発できたのは、以下のような条件が揃ったからだったのです。 Ｍ：　まずはサイバーの脅威を理解してもらい、防衛意識を高める
Ａ：　誰でも理解できる平易な説明、誰でも使えるシステムの簡便さ
Ｐ：　サービスの存在を知ってもらう広報。メディアによる報道や今回のようなアワード受賞 佐々木先生の論文では、「am I infected?」から得られた知見やデータを参照しながら、サイバーセキュリティ普及啓発の「B=MAP」仮説を記述しています。

吉岡

佐々木

「am I infected?」で検査した結果、何か問題が見つかった場合に対処方法についてアドバイスをお伝えしているのですが、必ずしも100％の方々が対策を完了できていないということが分かっています。ネットワークに繋がっているのはルーターのほか、IoT機器、家電、カメラなど多岐にわたっており、一つひとつの機器に合わせて、「このボタンを押して、次にこう入力して・・・」などと具体的な手順をお伝えするのはなかなか難しいからです。ユーザーは、大まかな説明をもらっても細かい対処をすることができない。このギャップをなんとか埋めていきたいと思っています。 一つのアプローチはAIの活用です。もう一つは、IoT機器メーカーさんとの連携することによってより安全な機器、設定が容易な機器、アラート機能を持つ機器などの開発・改善を行っていくことだと思っています。

吉岡

もう一つだけ付け加えると、「サイバーパンデミック」といった最悪の事態に備える時がそろそろ来ているのではないかと思っています。しっかりとしたリソースを確保して、国レベルで態勢を整えるべきです。「am I infected?」は大学のいち研究室の小さな活動に過ぎませんが、「サイバーパンデミック」に備えるにはどれくらいのリソースが必要で何を準備すれば良いのかを見定めるための実証実験のはしりのようなものだと自負しています。