パネリストには早々に了解をもらい、２週間前には説明用のスライドも用意できたのだが、台湾の人の渡航許可が下りなかった。そこで、彼だけはオンライン参加としてもらうことにした。

　横長の部屋に小さな演壇を設けてもらい、パネリストは着席状態でプレゼンをするレイアウト。最初の挨拶で私は、日本の取組みをまとめて紹介した。

・学界は、高専も含めて関連講座を増やし、専門大学も作った

・政府は、内閣にNISCを作って、国家戦略を３年ごとに改訂

・産業界は、経団連が「サイバーセキュリティは経営課題」と発信

　パネルディスカッションの冒頭、私からサプライチェーンリスクとそれに対応するための産業界の動き（SC3*1）を説明して、各国の事情を聞いた。

◆オーストラリア

　激しい攻撃を受けていて、大学は自身が重要インフラである（多分病院等を指す）し、社会の安定を保つための研究・人材育成をしなくてはならない。中小企業の対応にも苦慮している。

◇台湾

　2018年のTSMC操業停止以降、危機感が高まって産官学で推進するようになった。リードしているのは半導体産業など。世界のサプライチェーン内で、しっかりと安全性を主張したい。

◆中国

　サイバー空間を国家主権の中に位置づけ、サイバー基本３法を施行している。特にデータの保持には注力しているし、IT産業が他国からデータを盗まれるなどの事態には全力で対処しようとしている。

◇日本

　「誰も取り残さない戦略」を打ち立てて産官学の連携による社会の安心・安全を目指している。特に重要インフラの防御については、監督官庁や事業者の連携を強化して問題が起きないよう努めている。

　最後に個々の国内のことは措くとして、国際連携に何が重要かキーワードを聞いた。すると、

・教育（支えるのは人だから）

・（技術・用語などの）標準

・脆弱性などのデータ

・それらを全部含む意味での「情報共有」

　と各パネリストが応えた。単純なキーワードだが、そこから始めるというのが国際連携も重要だと感じた。

*1：SC3について｜サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3） (ipa.go.jp)

　小さなSOC部屋を設け、設備を整えている。最大６名の学生が作業にあたることができる。その部屋を見せてもらって、日本の状況も説明して議論した。興味を惹いた発言がいくつか、

・政府のWebサイトは、巨大だが役に立たない

・ソリューションは安ければ安いほどいい

・人材育成のキーは「サイバーセキュリティ・ビヘイビア」を学ぶこと

　日本でも政府機関の努力にもかかわらず、Webサイトを見てくれる企業は多くない。全く知らない企業が大半というと、同感との返事。２番目は、少々悩み深い。利用側からはそうだろうが、それだとオファーできないから安いものは消えて行ってしまう。３番目は、厳密な意味は分からないが、面白い発想。結局サイバーインシデントもヒトが起こして、ヒトが防ぐのだからビヘイビアはキーワードたり得る。

　その後、シャトルバスで20分ほどの郊外のキャンパスに移動。秋なので、モミジが美しい。そこで、まさにビヘイビア研究の研究者や、学部長クラスの人も混じってランチ会合になった。

　中小企業対策や人材育成については午前中に議論したので、ここでは大きな方針の話が印象に残った。オーストラリア政府の方針や産官学の動きも、日本と大きくは違わないことを認識し、私たちが日本でしていることを説明した。

・DXで儲けないと、サイバーセキュリティはコスト扱い、だからDX with Security

・セキュリティと利便性のバランスが重要、それは経営者の考え方が決める

・CISOの位置づけが企業価値を決める。DXや新事業にもリーチできるCISOが必要

　分厚いサーモンステーキを食べながら、ほぼ１時間半のランチミーティング、内容的にも厚みのある議論になった。両国のいろいろなレベルでの連携に向けた会話は、より頻繁に行いたいものだと思う。

　このところ、生成AIに関する話題が尽きない。「リスクはあるけど、まずは使ってみよう」と言うのが正しい姿勢。もちろん、機密情報を入力させないとか、悪事に利用しないというガバナンスは必要だ。

　ブームが起きると、必ず人材不足～争奪戦のようなことが起きる。今回、このような記事を見つけた。

「ChatGPT」ブームで中国人AIエンジニアの争奪合戦が激化 - ZDNET Japan

　カネに糸目は付けず獲得したいというのは理解できる。しかし何をやって欲しいかを明確にしないと、人材は能力を発揮できず他に移っていってしまうだろう。またここに挙げられている企業が、こぞってAIの先端開発をするわけではない。どちらかというと自社の業務改革に使いたいのだと思う。

　サイバーセキュリティの業界では、数年前から「プラスセキュリティ人材の育成と活用」を考えてきた。サイバーセキュリティの細部にわたる知識や実践は無くても、

・サイバーセキュリティとは何かを理解し

・大まかな仕組みとどういう被害や対策があり得るかを知って

・自分の業務に重ね合わせて考えられる人

　というもの。セキュリティリテラシーを持った組織人と言ってもいい。

　この考え方は、AIにも活かせるはずだ。生成AIを使って業務改革をしようとするなら、まずその業務を知悉していることが重要。業務の流れ、他者との関係、デジタル化の進捗、AI以前の根本課題、解決の可能性、AI利用によるリスクを検討し、ルール作りを含む解決策を提示することを、経営者はAI人材に求めているはず。ならば、これを「プラス（生成）AI人材」と呼べるだろう。

　AIリスク回避に「企業は倫理担当役員を置くべきだ」との意見もあったが、業務も技術も分からない倫理学者を雇用するだけでは、当面対外的に糊塗できるとしても本質的な解決にはならない。倫理学者はアドバイザ役に留め、倫理は経営者自らが負い、プラスAI人材を増やしていくこと。これが目指すべきAI時代の経営手法だと思う。

　先月末のG7デジタル相会合で議論になったことに、DFFT（Data Free Flows with Trust）がある。産業界はずっと「国境を越えるデータの確保」を求めて来て、それをTPPに入れ込む努力をしたことを、以前紹介した。

TPP第14章に込めた思い - 梶浦敏範【公式】ブログ (hatenablog.jp)

　ただデータが入手できても、それが正しいものでないと困る。TPPの議論をしていたころには、主な課題は国境にカベを建ててデータを出さない（＆入れない）ぞと言っている国の存在だった。ところがカベが崩れてくると、次の課題として誤情報が混じっていたり、途中で（悪意によって）すり替えられるリスクが浮上してきた。

　そんな懸念の対処として、2019年にG20の議長国だった日本政府が提唱したのがDFFTという概念だった。信頼できるデータを流通させ、安心して利用できるようにしようというもの。そのためにはデータについて、

・採取の環境の確かさ

・流通路での安全性の確保

　が必要だし、人によっては、

・利用側が定められた条件の範囲内で利用し、正しく保管・廃棄しているか

　も含まれていると主張する。いずれにしても、こうすれば「Trust」が得られるという決まりはなく、各種の規制や技術を組み合わせることで、十分な確からしさを確保することがDFFTの要件である。ただ、この４文字。関係者の立場によって、どこに軸足を置くかは異なる。

　私たち産業界は、FFに力点を置いた議論をした。つまりデータのフローが大事だが、その安全が担保され、関係者が不安に駆られない様な信頼性が必要だ考えている。必要以上のコスト（費用や時間）をかけたTであってはならないということ。一方で暗号技術などの研究者にとっては、Tが重要。より強固なセキュリティ技術で信頼を得ることが大事で、FFは目的ではない。

　今後DFFTに関する論説が種々出てくると考えられるが、その論説がどの文字に立脚しているかを理解しておかないと、その違いに混乱をきたすかもしれない。