フィジカルAI時代のセキュリティ:ロボティクスとAIセキュリティの融合のあり方
0 likes188 views
六本木会議オンライン#98 フィジカルAI時代のセキュリティ:ロボティクスとAIセキュリティの融合のあり方 GLOCOM六本木会議は、刻々と変化するさまざまな論点を取り上げる機動力を高めることを目的として『GLOCOM六本木会議オンライン』を開催しています。 第98回は、大阪大学の栄藤稔教授をお招きし、ロボティクスとAIの融合がもたらす変革とセキュリティ課題についてご講演をいただきます。 議論の内容は、オンライン(Zoomウェビナー)によるライブ配信で参加登録をされた皆さまにお届けしながら、QA機能を通じたご意見・ご質問を承ります。 皆さまのご参加を心よりお待ちしております。 日時 2025年6月18日(水)18:00~19:00 配信形式 Zoomウェビナー 登壇者(敬称略) 栄藤 稔(大阪大学先導的学際研究機構教授) 前川徹(東京通信大学 情報マネジメント学部 教授/国際大学GLOCOM主幹研究員) 講演概要 生成AIが急速に物理世界と接続する現代、ロボティクスとAIの融合がもたらす変革とセキュリティ課題について考察します。自律的なエージェントへと進化するAIが物理世界で活動する際の固有リスクと、それに対するゼロトラストアーキテクチャなどの先進的対策を解説。さらに、各国のAI規制動向を踏まえ、日本に適したガバナンスモデルと「AIを制御するAI」という新たな制御システムの可能性について提言します。
。
原則 問題点 理由
継続的監視 実行不可能
真の監視は人的に不可能、監
視者自体が攻撃対象
最小権限 敵対的思考
従業員を潜在的敵とみなす有
害な考え方
マイクロセグメンテーション ゼロトラストに非該当
ネットワーク信頼の継続、根
本解決にならず
侵害想定 負の信頼モデル
すべての従業員を敵視する極
端な思考
安全な通信 曖昧
2010年当時は有効、現在は当
然の前提
ID中心セキュリティ 定義不明確
アイデンティティ vs プリンシ
パルの混同
明示的検証 過度の監視 プライバシー侵害の懸念
3つの新原則
原則1: Limited Assumption of Privilege (特権の限定的仮定)
•従来: Assume Breach (侵害想定)
•新原則: 特権乗っ取りの最小化
包括的デザイン理論の適用:
永続的脅威: 内部犯罪者 (極少数) 一時的脅威: 侵害されたエンドポイント (頻
繁) 状況的脅威: 感情的な従業員行動 (時々)
原則2: Individualized Strong Authentication (個別化された強力な認証)
•核心概念: エンドポイント + ユーザー = サイボーグ認証
•技術要件:
• パスワード完全廃止
• X.509証明書ベース認証
• フィッシング耐性の確保
「物理的に存在しない人間は認証できない。認証するのはサイボーグ(エン
ドポイント+ユーザー)である」
原則3: Minimize Unused Privilege (未使用特権の最小化)
•従来: Least Privilege (最小権限)
•問題: 従業員の敵視
•解決: 未使用権限の特定と削除](https://image.slidesharecdn.com/aiai2025-06-18-r3-250619013728-82afce81/85/AI-AI-32-320.jpg)
フィジカルAI時代のセキュリティ:ロボティクスとAIセキュリティの融合のあり方
- 1. 栄藤 稔 ⼤阪⼤学 先導的学際研究機構 順天堂⼤学医学研究科客員教授 情報社会デザイン協会 代表理事 Netskope CXO advisor アンダーソン・毛利・友常法律事務所 AIアドバイザー 6/18/2025 @mickbean https://www.linkedin.com/in/micketoh/ フィジカルAI時代のセキュリティ: ロボティクスとAIセキュリティ の融合のあり方 1
- 2. 2 TUESDAY, JUNE 3, 2025 Are EVs the Future of GM? 「バイブコーディング(Vibe Coding)」とは、人間がAIと対話し ながらコードを書いていく新しいプログラミング手法です。もとも とは2025年2月にテスラの元AI責任者であるアンドレイ・カーパ シー氏がX(旧Twitter)上で提唱した造語で simonwillison.neten.wikipedia.org、彼はこの手法を「完全に雰囲気 (vibes)に身を任せ、指数関数的進化を受け入れ、コードの存在 を忘れてしまうようなコーディング」だと説明。 例えばReplit社によれば、同社ユーザーの75%は一行もコードを書かずに サービスを構築しているとのことで、「バイブコーディングの時代は既 に来ている」といった声もあるbusinessinsider.com。スタートアップ界 隈でもこの潮流は顕著で、Y Combinatorの最新バッチでは約4分の1の新 興企業がコードの大半をAI生成に依存しているとの報告もある。 en.wikipedia.org。大企業でもAI支援開発の採用が進んでおり、グーグル では新規コードの約25%がAIによって生成されているとCEOが述べるな どlinkedin.com、AIがコードを書くことが次第に当たり前の風景。
- 4. Source: International Energy Agency (IEA), ‘Energy and AI’ (4/25) 著者: Mary Meeker, Jay Simons, Daegwon Chae, Alexander Krey タイトル: Trends – Artificial Intelligence (AI) 発行者: Bond Capital 発行日: 2025年5月30日 URL: https://www.bondcap.com/reports/tai 4
- 5. https://waitbutwhy.com/2015/01/artificial-intelligence-revolution-1.html Present Future Trajectory based on the past growth rate Trajectory based on the present growth rate Trajectory taking exponential growth into account Time Performance 今始まっている未来をどう見るか 5
- 6. 6 シンギュラリティ = Exponential Growth
- 7. 7 Invest Report BIG IDEAS 2024.
- 9. 身体性を持つAGI (Artificial General Intelligence, 汎用AI) 五感と身体操作との統合は、すで にメタバースで発生。 空間推論(Spatial Reasoning)がAI研 究の本流。 リアルとメタバースの統合:精密 機械の自動生産、消費エネルギ ーの壁を越えれば化ける。 9
- 10. CES 2025 Keynote with NVIDIA Founder and CEO, Jensen Huang
- 11. CES 2025 Keynote with NVIDIA Founder and CEO, Jensen Huang China 6, US 4, Korea, Germany, Norway, Canada US Korea China Germany China US US Us Norway China Canada China China
- 12. Introducing Generative Physical AI https://youtu.be/AYSfcgVv9-U?si=ONannEwEdf49weif 12
- 14. 「先進的デバイス」をDJI ドローンとの対比で理解 14 項目 Unitree Go1 DJI Drone (Mavicシリーズ等) アクチュエータ ・高トルクブラシレスモーター ・ギア+エンコーダ一体型ジョイント ・低速かつ高精度の姿勢制御が可能 ・高回転ブラシレスモーター ・プロペラ+ESCによる飛行制御 ・軽量・高効率を重視 センサー ・多眼ステレオ深度カメラ ・超音波センサー、足部力覚センサー ・地形認識・障害物回避に対応 ・前後左右+下方ビジョンセンサー ・ジンバル付き4K/8Kカメラ ・全方位障害物検知機能 制御/演算 ・NVIDIA Jetson系または類似GPU SoCを搭載 ・Ubuntu+ROS上でAI/歩容アルゴリズムを実行 ・リアルタイム制御 ・独自フライトコントローラ+AIチップ ・飛行安定化と映像処理をリアルタイムで並行処理 パワー半導体/バッテリー ・22.2Vリチウムイオンバッテリー(6000mAh) ・各脚モーター用ドライバ(インバータ)×4 ・高トルク対応制御 ・高放電性能のLiPoバッテリー ・モーター用ESC ×4(クアッドコプターの場合) ・軽量&高速回転制御 内製化状況 ・モーター/ギア/関節部は独自ブランドで開発 ・センサー類も中国系サプライチェーン中心 ・モーター/ESC/FC/ジンバルなどは自社開発 ・カメラCMOSは海外製(SONY等)の採用例も 先進技術の特徴 ・複雑な四足歩行アルゴリズムをリアルタイム処理 ・GPUを活用したビジョンAIに強み ・高度な空中制御アルゴリズム ・高性能ジンバル&カメラによる安定した空撮
- 15. BOM比較(仮説) 15 項目 Unitree Go1 Pro Boston Dynamics Spot 販売価格 約300万円 約800~900万円(74,500ドル) BOM(推定) 約30万円(販売価格の10%) 約200~300万円(販売価格の20~ 30%) 主な用途 教育・研究、軽度な産業・個人向け 産業用(建設、プラント、研究等) 特徴 Python/ROS対応、比較的軽量・高速 防塵防水、高耐久、高負荷対応 中国元で購入 vs USDで海外から注文 この彼我の差が大きい
- 18. アライメント問題 18 • 「目標の誤指定」問題 AIに与える目標(例:「○○を最大化せよ」)が、人間 にとって本当に大事な制約や倫理観を反映していない場 合。 • 「手段の暴走」問題 AIが目標達成のために不正行為や危険な手段を講じ、開 発者の想定を超えて社会に悪影響を与える場合。ー>詐 欺。 • 高度AIの「自律的戦略」 AIが人間を欺く、監視を逃れる、リソースを勝手に拡大 取得するといった行動を意図的にとり始める場合。 「AIをどうやって人類の利益に沿った形で制御するか」という技術的・社会制度的課題
- 20. 2026はじめ 20
- 23. 23 攻撃タイプ 攻撃方法 具体例 被害・影響 マルウェア開発支援 AIにコード生成させ て悪用 Black Bastaグルー プがChatGPTでラン サムウェア開発 高度なマルウェアの 迅速な開発 ソーシャルエンジニ アリング AI生成コンテンツで 人を騙す 偽人格作成、偽求人、 Deepfake動画・音声 大規模な個人情報収 集、金融詐欺 自動化された大規模 攻撃 AIで攻撃を効率化・ 自動化 投資詐欺の自動化、 脆弱性の自動発見 広範囲かつ継続的な 被害 攻撃タイプ 攻撃方法 具体例 被害・影響 プロンプトインジェクショ ン 入力を操作してAIを騙す 「Inject My PDF」でPDF に見えないテキストを埋め 込み 履歴書審査での不正、シス テム制御の乗っ取り ジェイルブレイキング AIの安全機能を回避 制限を回避して有害コンテ ンツを生成させる 不適切なコンテンツ生成、 倫理違反 データポイズニング 学習データや知識ベースを 汚染 RAGシステムに偽情報を 挿入 誤った情報の提供、判断ミ ス 機密情報漏洩 AIから秘密情報を抜き出 す ファインチューニングモデ ルから機密データを再生成 個人情報や企業秘密の流出 サプライチェーン攻撃 AIの開発・配布過程を悪 用 偽の「deepseek」パッ ケージで認証情報窃取 開発環境への侵入、広範囲 な被害 GenAI に対す る攻撃 GenAI による 攻撃
- 27. 27 FRIDAY, MAY 30, 2025 Remote Work Is Convenient for Employees…and North Korean Scammers アメリカのリモートワーク制度を悪用して北朝鮮が制裁回避と資金調達を 行っている実態について詳しく報告したものです。経済的に困窮したアメ リカ人を「ラップトップファーマー」として利用し、偽の身元で米企業に 潜入する手法や、その結果として年間数億ドルが北朝鮮に流入している現 状について説明 件名 被害額(米ドル) 情報漏洩・スパイ内容 ラップトップファーム事件 (クリスティーナ・チャプマ ン/ミネソタ、2020-23) 約 1,710 万ドル300社以上が 給料を払わされ北朝鮮へ送金 (justice.gov, therecord.media) 北朝鮮IT労働者が社内ソース コード・顧客データに恒常的 アクセス。退職時に「投棄す る」と脅して恐喝した例も報 告 (bleepingcomputer.com) 米大手64社への偽装雇用 (Fortune 100を含む、 2021-24) 少なくとも 680 万ドル被害 企業が給与として支払った総 額 (hrdive.com) 正社員権限を悪用しソース コード・機密文書を取得。後 日の身代金要求や転売目的の 窃取が疑われる (bleepingcomputer.com) 130名規模の長期潜入スキー ム(2017-23、米国全土) 最低 8,800 万ドルIT労働者 が得た報酬の合計推定 (reuters.com) 開発環境へバックドアを仕掛 け、貿易機密・顧客情報を北 朝鮮へ送信した可能性が高い (bleepingcomputer.com)
- 29. アイデンティティ認証が最後の砦 この三層を組み合わせることで、 • 鍵の保護 → 侵入防止(NHI) • 権限の抑制 → 拡散阻止 (Zero Trust) • 挙動の可視化 → 早期検知/ 封じ込め(UEBA) という“守る・閉じる・見つける”サ イクルが完成 29
- 30. 計算機科学・工学 統制 & ポリシー (法律, ガイドライン,デザイン) AIリテラシー 教育 終わりなき対話 規範 宗教 30 政府関与による AI ガバナンス 国際協調 国際標準 倫理
- 31. 31 共通のセキュリティ課題と方針 クラウド利用拡大への対応: 全事例企業でSaaS利用が急増し、 従来の境界防御では把握困難なシャドーITや機密データ流出 リスクに直面 リモートワーク対応: コロナ禍を契機に、場所を問わず安全 にアクセスできる環境構築が急務に ガバナンスと利便性の両立: 厳格なセキュリティ基準を維持 しつつ、業務効率や開発の自由度を損なわない方針を採用 1. 最小特権の原則 ユーザ属性(職種・部門)に応じたきめ細かなアクセス制御 ID基盤(Microsoft Entra ID、Okta等)との連携による動的 な権限管理必要なリソースのみへのアクセス許可 2. 継続的な検証とコンテキスト判定 クラウドアクセスの常時監視と可視化(CASB機能) エンドポイントの信頼性検証(EDR連携) ユーザ行動分析(UEBA)による異常検知 3. データ保護(DLP) 機密データの社外流出防止 クラウドストレージへの不適切なアップロード制御 コンテンツ検査とポリシー適用
- 32. Andy EllisのZeto Trust 32 中心的な主張 「Zero Trustの実装において、我々は根本的に間違ったアプローチを取った」 Source: Andy Ellis 氏の 「Having Zero Trust to Give: What Should Have Been Next?」 2025_USA25_NCS-M01_01_Having-Zero-Trust-To-Give-What-Should-Have- Been-Next_1745275328904001it9V.pdf](file-service://file-SJu9TPFkorAkanXLKrfXvv)。 原則 問題点 理由 継続的監視 実行不可能 真の監視は人的に不可能、監 視者自体が攻撃対象 最小権限 敵対的思考 従業員を潜在的敵とみなす有 害な考え方 マイクロセグメンテーション ゼロトラストに非該当 ネットワーク信頼の継続、根 本解決にならず 侵害想定 負の信頼モデル すべての従業員を敵視する極 端な思考 安全な通信 曖昧 2010年当時は有効、現在は当 然の前提 ID中心セキュリティ 定義不明確 アイデンティティ vs プリンシ パルの混同 明示的検証 過度の監視 プライバシー侵害の懸念 3つの新原則 原則1: Limited Assumption of Privilege (特権の限定的仮定) •従来: Assume Breach (侵害想定) •新原則: 特権乗っ取りの最小化 包括的デザイン理論の適用: 永続的脅威: 内部犯罪者 (極少数) 一時的脅威: 侵害されたエンドポイント (頻 繁) 状況的脅威: 感情的な従業員行動 (時々) 原則2: Individualized Strong Authentication (個別化された強力な認証) •核心概念: エンドポイント + ユーザー = サイボーグ認証 •技術要件: • パスワード完全廃止 • X.509証明書ベース認証 • フィッシング耐性の確保 「物理的に存在しない人間は認証できない。認証するのはサイボーグ(エン ドポイント+ユーザー)である」 原則3: Minimize Unused Privilege (未使用特権の最小化) •従来: Least Privilege (最小権限) •問題: 従業員の敵視 •解決: 未使用権限の特定と削除
- 33. フィジカルAIの黎明:物理世界と融合するAI 33 Source: RSA Conference 2025: 「The Convergence of Industrial Cyberthreats: Year in Review Report」概要
- 34. 34
- 35. サイバー・フィジカルでガードレイル必須 35 フレーム ワーク 提供元 / ライ センス 主な用途・対 象 現状の課題・限 界 Rebuff Protect AI / Apache-2.0 プロンプトイ ンジェクショ ン防御 試験段階・ 100%防御は未 保証 レイテンシ/コ スト増大 NeMo Gua rdrails NVIDIA / Apache-2.0 対話型AI全 般 (BOT, RAG) 遅延・費用増 ルール設計が複 雑 Guardrails AI OSS (Shreya Rajpal ) / MIT LLM出力の構 造・品質保証 再生成ループで 遅延/コスト増 高度セマンティ クスはLLM頼み サイバーでAIの入出力監視が先行 フィジカルは初期のロボット安全化止まり ハクティビストの活躍の場
- 36. EU AI法:規制の迷路に突入 ソーブリンAI vs ハイパースケーラー 36
- 37. 米国サイバーセキュリティ目線での打ち手 37 Source: RSA Conference 2025, Only Regulators in the Building - EU AI Act, Compliance, Trust and AI」(建物内の規制当局のみ - EU AI法、コンプライアンス、信頼とAI ステップ / フレームワーク 国レベルでの実装ポイント(例) ①NIST AI RMF で俯瞰 プロジェクト単位で 公平性・説明性・セーフティ を含むリスクレジスタ ーを整理し、政府横断ダッシュボードへ集約 ②NIST CSF 2.0 Cyber AI Profile で深掘り 上記リスクのうち 攻撃面 を CSF カテゴリ(ID.RA, PR.AC など)にマ ッピングし、SOC / DevSecOps 手順へ即インプット ③ ギャップ分析 “RMF-Manage → CSF-Respond” を照合し、AI特有インシデント対応の 抜けを検出し、次期ロードマップへ反映 CSF 2.0 Cyber AI Profile AI時代のサイバー防衛を既存 CSF 言語で語る増補版 —— 政府基準とし て採択し、調達・監査要件に直結 OWASP LLM/NHI Top 10 「大規模 言語モデル Top 10 リスク」 OWASP「ノ ンヒューマン・アイデンティティ Top 10 リ スク」 生成AI/機械IDの現場が“まず埋めるべき穴”を列挙 —— 国立試験所のペ ネトレーションテスト標準に組み込み ISO/IEC 42001「人工知能マネ ジメントシステム ― 要求事項 および活用の手引」 経営~運用を束ねる AI マネジメントシステム —— 省庁・重要インフラ 事業者へ認証取得を推奨し、上位ガバナンスを担保
- 39. 国内でのアクション例:AIセキュリティ・ガバナンス戦略 39 提言 要点 具体的な施策例 1. “ゼロトラスト原則” に基づく Agentic AI設計・運用 AI の入力も出力も信頼せず 、常に検証する - プロンプト設計・監査: ・入力プロンプトを署名付きメタデータで保存し改ざん検知 ・スコープ/権限を JSON Policy で宣言し実行前に検証 - 自律行動評価プロトコル: ・API / ファイル操作を最小権限トークンで実行 ・行動ログを SBOM 形式で生成し因果トレースを再現 2. AIサプライチェーン 全体の信頼性ガバナン ス モデルの“出生証明書”と流 通経路を可視化 - モデル/API 信頼スコアリング: ・SBOM/C2PA メタデータ付与 ・脆弱性・学習データソースを公開 - 導入指針整備: ・政府・自治体・重要インフラ向け ・“セキュアAI導入ガイドライン”を年1回更新 3. 倫理の多元化と “判断の余白”の制度化 AIに“唯一の正解”を持たせ ない社会設計 - 多価値設計: ・人権・文化・地域慣習など複数指標を同時提示する UI/API - 判断の余白(Human-in-the-Loop): ・AIは候補を列挙し最終決定は人間 - 対話拒否権の実装: ・ユーザーが回答不要/提案拒否を選択できる ・AIが“判断不能”と返答できる権利