Scribble at 2026-05-28 09:50:29 Last modified: unmodified

僕ら情報セキュリティの業界では、かつて高木浩光氏による「サニタイズ言うな」キャンペーンというのがあったけれど、いつしか誰も言わなくなった。そもそも、情報セキュリティのエンジニアというのがニッチな職能であるし、標準的なウェブ・アプリケーションのエンジニアはコーダやデザイナーが「クラス・チェンジ」したか、あるいは片手間に WordPress のテンプレートを編集するだけのために PHP を学んだような連中がいたり、それともセキュア・コーディングのことは「偉い人」に任せればいいという IT ゼネコンの下請けや新卒といった人々であるため、実際には「プログラマ」や「エンジニア」を名乗っていながら validation と sanitization の違いすら分かっていない人々が大半を占めている。なにせ、セキュリティなんて知らなくてもコードは動くからだ。もちろん、そういう状況を当然だとか良しとするわけでもないから、それなりに当サイトでも幾つかの論説を公開して啓発しているつもりだし、自社でも色々な場面で情報セキュリティなり個人情報保護という観点からの啓発に努めているわけだが、僕のように知識・経験・技術、そしてイケメンという圧倒的な人材がいると依存されてしまうので、困ったことでもある。

冗談はともかく（もちろん冗談は最後の文だけだが）、上にご紹介する論文は、このところ世界中で使われている "AI" という言葉について、一括りにした解説、理解、批判、規制、そして議論は、もはや無意味で危険だと警告している。サニタイズのように何か別のことがらと比較している議論ではないけれど、たいていにおいて不十分かつ未熟で幼稚な理解や説明のもとに扱われている "AI" という言葉を振り回すことで、機械学習やデータ管理の要点が雑に扱われてしまうという点では、セキュリティ対策の要点が短絡化されてしまうのと同じようなリスクがあると言ってよいのだろう。とりわけ、論文の著者は軍事用途のシステムにおいて不正確な理解をベースに扱うと、規制が不十分になったり過剰になるという問題が起きやすいと指摘している。端的に言えば、自律的な兵器の駆動を担う AI システムと、意思決定を支援するための AI システムとでは、モデルの開発も運用も評価の基準もリスクも全く異なるので、議論を正確かつ適切に行うための整理が必要だという。そして、これはおそらく一般企業で AI を導入する場合にも言えることだ。意思決定は経営判断と同じことだし、自律的な兵器の駆動は・・・同列に扱うことに抵抗のある人もいるとは思うが、画像生成 AI で大量のイラストを作るのと同じことだと言ってもよいからだ。