ブルース・シュナイアーはセキュリティーの第一人者で「シュナイアーの法則」で知られています。
自分自身が破れないアルゴリズムを作って安心しているのは素人同然だ。
Anyone, from the most clueless amateur to the best cryptographer, can create an algorithm that he himself can't break.
今回紹介するのはブルース・シュナイアーの最新著書である"A Hacker's Mind"です。本書ではコンピューターだけではなく、金融機関や行政、政治、さらには人の認知システムまで網羅的な「システム」に対するハッキングを網羅的に捉えています。そして、最後にAIが普及するとハッキングにどのような変化が起きるのか、それに備えて何をすべきなのかが語られます。
ブルース・シュナイアーはまず定義からはじめます。「システム」とは複雑なルールやノームのセット。ルールは明示的なもので法律や規則。ノームは暗黙的な取り決めで社会の慣習などが含まれます。本書で取り上げられるのはコンピューターのプログラムだけでなく、法律や政治、人の認知システムまで含まれるのは、ここで取り上げられる「システム」の定義がとても広いからです。逆に言えば、AIによるハッキングを考える上で、従来のコンピューターのハッキングだけではとても足りないということなのでしょう。
ルールやノームで構成されるシステムの目的は望む結果をもたらすこと。そして「ハック」とはそのルールの裏をかき、システムをデザインした人が望まなかった結果を引き出すことだと定義しています。そして、ハックは多くの場合はお金や権力を持っている人や組織に有利に働くと言います。なぜならハックをするにはお金と労力がかかるから。ハッキングにより大きなメリットを得るには大きな投資が必要になるから。AIではそれがさらに顕著になると警笛を鳴らします。
金持ちが得をするハッキングの代表例としてあげているのがピーター・ティールのRoth IRA個人年金ハックです。ピーター・ティールは言わずと知れたイーロン・マスクと並ぶPayPalマフィアの大金持ちです。また、アメリカ国家安全保障局(NSA)のEternalBlueを例に挙げて複数のエキスパートの組み合わせによって大掛かりなハッキングは実現されることを示します。
本書では金融、行政、政治など様々な分野のシステムのハックを紹介していますが、そこから色々な共通点が見えてきます。例えば、最初はルールの抜け道をついたハックだったのに、それが常態化してルールとして正式に認められハックにならなくなる。代表的なのが判例法主義で、ハックを追認する仕組みだと言えなくもない。
このようなハックが正式なルールとして追認されることをノーマライズ(常態化・正常化)とブルース・シュナイアーは呼んでいます。ハックは必ずしもノーマライズされるわけではなく、違反とされることもあります。最初は真っすぐだったホッケースティックを曲げたのはハックでしたが、ノーマライズされ正式なルールとなりました。鈴木大地のバサロもハックでしたが、こちらは禁止されました。
ハックは基本的に昔からお金に関することが多い。そして資金力のある個人や組織に利用されることが多い。例えばヨハン・テッツェルは免罪符ハックで大いに潤いました。NOW勘定も金利の上限を定めたレギュレーションQの裏をついたハックですが、ノーマライズされました。このようなハックのノーマライズが規制緩和を促進し、最終的にリーマンショックとなってしまったとも言えます。その反省からドッド・フランク法が制定されましたが、すぐに抜け道が見つかりハックされています。
民泊のAirbnbもライドシェアのUberも規制の裏をついたハックです。このような規制がノーマライズされるのには時間と資金がかかる。そこをサポートするのがVCによる投資なのですが、当然ながらそのリターンを期待します。規制のハックも結局はお金になるからで、それがノーマライズされたら得をするのは投資したお金持ちということになります。
ブルース・シュナイアーはさまざまな分野のハッキングを紹介しながら、それが基本的に既存の権力構造をさらに強固にしていることを示していきます。ジェリーマンダリングなどの選挙区の操作もそうですし、認知システムをハックするようなネット広告も同様です。視点はトマ・ピケティのようなリベラルに近いものがあると思ったら、後半には実際にトマ・ピケティに言及していました。
AIはハッキングをスケール、スピード、スコープ、ソフィスティケーションの四つの方向でこれまでの人間から進化させると予想します。ハックは脆弱性を見つけることからはじまりますが、AIは人間によるレッドチームと比べて、そのスピードやスケールにおいてより多くの脆弱性をより早く見つけることができるようになります。これは最終的には防御する側に有利になりますが、そこに至るまでに攻撃する側(つまり権力側)がその資金力や組織力で有利に使うだろうと予測しています。ただ、シュナイアーはもともとハッキングは防御する側より攻撃側がやりやすい立場を取っていたのですが、AIではそれが長い目で見れば逆転すると考えているのが面白かったです。
また、ブルース・シュナイアーはAIを規制すべきという立場をとります。AIによってハッキングは大きな進化を遂げ脆弱性はより多く見つかりますが、その脆弱性を塞ぐには人間の判断が必要となります。例えば税制や規制の抜け道が1日に1000個見つかったとして、それらをすぐに塞ぐことはできません。
ブルース・シュナイアーがAIによるハッキングが人間の能力を超える前に提案するのがハックのガバナンスシステム(HGS: Hacking Governance System)です。まだどの政府もこのような取り組みを行ってないし、具体的な形もまだ見えてきていません。しかし、HGSは三つの要素が欠かせないとシュナイアーは考えています。一つは包括性(inclusivity)で、さまざまな観点でレビューが行われるべきだとしています。二つ目が透明性(transparency)で一般の人たちが見える形であるべきだとしています。そして最後に俊敏性(agility)で間違いから学ぶ反復型の開発のようであるべきだとしています。
本書は技術的なハッキングだけでなく、社会システムや人間の認知システムまで含む、かなり包括した内容の本だというのは読む前からわかっていました。それがどうやってAIにつながっていくのか非常に興味深く読み進めました。ブルース・シュナイアーは『超監視社会』という本を出すくらいにはリベラルな立場をとる人だと思っていましたが、ここまでリベラルな視点を盛り込んでくるのは(いい意味で)意外でした。
