笹原 帆平

ビジョン：安心・安全な超スマート社会を目指して
内閣府の掲げるSociety 5.0（超スマート社会）に向けて、 情報空間（cyber）と物理空間（physical）の融合による人間（human）のためのシステム設計、 すなわちCPHS (cyber-physical-human system) 設計は現代の最重要課題の一つとなっています。 一方で、サイバー攻撃による社会的被害は増加の一途を辿り、その金額的損失は年間１兆ドルにも達しつつあると推定されています （参考: McAfee）。 残念なことに、情報空間・物理空間の融合が進むにつれて、従来の情報システムに加え重要インフラを含む物理システムが犯罪組織にとって新しく魅力的な攻撃対象となりつつあります。 実際、攻撃を受ける頻度において、製造業は２０２０年に全業界中第２位となりました（参考：IBM）。 社会に深刻な影響を与えたインシデントとして、 イランの核物質濃縮工場を皮切りに、 ウクライナの電力系統、 米国の石油パイプラインをターゲットとした事例が挙げられます。 これらの攻撃は各システムの操業停止を導き、その結果我々の安全すら脅かされることとなりました。 笹原はこれらの事実を鑑み、セキュアなCPHS設計の研究を通して、安心・安全な社会の実現を目指しています。

我々の現在地：制御システムセキュリティの最前線
２０１０年頃から、情報と物理の融合という観点に基づき、CPS (cyber-physical system) あるいは制御システムのセキュリティは産業界・学術界問わずその重要性が意識されてきました。 例えば世界的には米国標準技術研究所により産業用制御システムセキュリティのガイドラインが２０１５年にまとめられましたが、 日本でもいち早く２０１２年に制御システムセキュリティセンターが立ち上げられています。 こういった技術者・研究者の努力により、CPSセキュリティに関する論点が整理され、従来の情報セキュリティに加えて新たな防衛手法開発の必要性が認識されました。 その結果、現在はCPSセキュリティに関する研究が世界中で活発に行われている状況であり、多くの手法が提案されています（参考：ＭＩＴの研究者によるサーベイ論文）。 日本発の技術としては、電気通信大学の先生方によるモデルベースセキュリティや暗号化制御等が具体例として挙げられ、これらの研究は国際的にも広がりを見せています。

新たな課題：情報－物理－人間の相互作用
しかしながら、実際のサイバー攻撃の手口は、“詐称したメールのリンクをクリックさせるフィッシング”、“パスワードの使いまわしによる漏洩”、“既知の脆弱性の再利用”の三つが９０％を占めるという現実があります。 これらはシステム内部の挙動だけで捉えきれる問題ではなく、システムを管理・運用する人間に起因する問題であることは明らかです。 この事実は、従来の情報－物理（CPS）という繋がりだけでなく情報－物理－人間（CPHS）の繋がりを意識してセキュリティを捉えるべきであることを示唆しています。 これはまさに超スマート社会で強調されている「人間中心」の考え方であり、セキュアなCPHS設計は今こそ取り組むべき学術的課題であると笹原は考えています。 CPSの振る舞いに関しては制御工学・力学系・ネットワークエンジニアリング、人間の振る舞いに関しては行動経済学・認知心理学・ソーシャルエンジニアリング等の分野で多くの知見があり、大きな方向性としてこれらの融合を狙います。

アプローチ：数理的形式手法
上記の課題に対して、数理的手法、すなわち対象を定量的に表現（モデル化・情報化）し計算によって演繹的に結果を分析する手法によりアプローチします。 特にCPHSセキュリティの課題における数理的手法独自の強みとして、以下の四つを意識しています。
１．物理学・システム工学・経済学における共通言語としての表現能力
CPHSの各構成要素を支える基本的な学問領域が物理学・システム工学・経済学です。 それぞれの関心は必ずしも重ならないものの、その基本法則は数理的に表現されるという点で共通しています。 このことから、数理的表現は各領域に蓄積された知見をシームレスに繋げるための架け橋となりつつ、複合領域であるCPHSにおいてもその法則の自然な表現となると考えています。
２．形式的検証可能性
システムのリスクを評価することはセキュアなシステム設計の基本的な前提となります。 どんなシステムにもセキュリティホールは無数に想定できてしまうため、リスク評価は一意に与えられるものではなく、安全性の検証のためには各想定シナリオに伴う前提を明確にする必要があります。 この点において、数理的アプローチは仮定からの演繹によって議論を構成するため全ての前提が陽に書き下されており、形式的な検証可能性を担保することが可能です。
３．戦略的意思決定のための定量的な評価基盤
組織の戦略立案の際「セキュリティ部門へいくら投資すればよいか」という意思決定が必要となりますが、 これは実は極めて難しい問題です（参考：経済産業省）。 セキュリティ担当者としては思いつく限りの攻撃シナリオに対処したい一方で、経営者はサイバー攻撃の他にも多くのリスクを考慮した上で有限のリソースを分配しなければならず、互いの議論が噛み合わないことがしばしば起こり得ます。 セキュリティの文脈ではゼロトラストに代表されるような完全な信頼性を理想状況とする立場が多く取られますが、現実に適切な意思決定を促すにはトレードオフを表現する定量的な評価が必要となるはずです。 数理的アプローチはその表現形式から定量的な評価を直接与えることが可能であり、戦略的意思決定の基盤を提供します。
４．AI・機械学習への展開
近年隆盛を極めている人工知能（AI）は、超スマート社会とそのセキュリティにおいても基本的な役割を果たすことが期待されています。 その振る舞いもやはり数式により表現されるため、CPHSセキュリティの研究で得られた知見を数理的に表現することにより、それらの応用としての機械学習アルゴリズムによる防御手法開発等へ自然に展開可能となります。

応用例：スマートグリッド
令和２年、菅首相（当時）の所信表明演説において、２０５０年までに脱炭素社会の実現を目指すことが宣言されました。 この目標のために再生可能エネルギーをベースロード電源とする次世代電力系統（スマートグリッド）の構築が急速に進んでいます。 スマートグリッドにおける重要な課題の一つは自然由来の発電による大きな不確かさであり、安定した電力供給のためには新しい計測・制御装置、例えばスマートメータやスマートインバータが必要となります。 これらの装置は情報ネットワークにより中央給電指令所と繋がり、結果として巨大なCPSを構成します。 トラブルの際には、数秒単位で行われる送配電線の復旧等は自動的に行われますが、大規模な復旧計画などは中央給電指令所内のオペレータの手により行われ、最終的には人間がシステムの振る舞いに深く関わることとなります （参考：北海道電力）。 さらに、電力自由化が進むにつれ電力市場は活性化することが予想され、その取引が系統に与える影響も無視できません。 市場における主体は人間であり、その設計（メカニズムデザイン）は経済学での伝統的な分野の一つとなっています。 これらの構成要素が複雑に作用し合うスマートグリッドは、典型的なCPHSの例である一方で生活を支える基本的なインフラでもありそのセキュリティは極めて深刻な課題であるため、笹原の研究においても具体的な応用例として捉えています。

認知バイアスのもとでのサイバーデセプション（欺き）の数理モデル化
２０２１年６月、米国連邦捜査局（FBI）と欧州刑事警察機構（Europol）は独自に開発した秘匿通信アプリを「おとり」に使い犯罪組織の構成員８００人を逮捕したというニュースが報道されました。 この大規模な摘発を可能にした要因は、犯罪組織にアプリの有用性を信じ込ませるよう「欺く」ことに成功したことにあります。 このような防御側の積極的な欺きは防衛的サイバーデセプションの概念のもとにまとめられており、ハニーポット等の様々な技術が開発されています。 特にデータドリブンなサイバーデセプションを設計するための道具として、不完備情報ゲームに基づく数理モデルが用いられています。 不完備情報ゲームとはプレイヤーがゲームに関して不確かな知識を持つ状況のモデルであり、上記の例ではアプリ提供者に関する不確かさを表現します。 既存のモデルでは、犯罪組織が不確かさをどう捉えているか、つまりどの程度疑っているか、という人間が持つ認知に関する情報は公開されているという仮定を暗黙のうちに置いています。 ところがこの仮定は明らかに現実的でなく、実際には攻撃側の認知は防御側にとって未知であり、互いの認知に関するバイアスが存在するはずです。 認知バイアスが人の意思決定に大きな影響を与えることは行動経済学が明らかにした事実であり、セキュリティにおいても重要な存在であると予想されます。 この観点に基づき、私の研究では認知バイアスを陽に入れ込んだサイバーデセプションの数理モデルを提案しています。 そこでは、自分が不確かさをどう認識しているか、またそのことを相手がどう認識しているか、またさらにそのことを自分がどう認識しているか、といった具合の無限の認知の螺旋が登場します。 この相互認知を表現するための数学的概念が信念の無限階層であり、提案モデルにおいて基本的な役割を果たします。 提案モデルは既存の枠組みでは起こり得ない均衡を導き、人間が自然に持つ認知バイアスのもとでのサイバーデセプションの適切な評価を与えることを可能にしています。
発表論文

1. H. Sasahara and H. Sandberg, "Epistemic Signaling Games for Cyber Deception with Asymmetric Recognition," IEEE Control Systems Letters, 2021.

Bayes推論に基づくCPSセキュリティの漸近挙動解析
脆弱性と攻撃の影響を定量的に捉えるモデルベースリスク評価はセキュリティインベストメントの基礎となります。 アタックグラフを基本として様々な派生があり、防御側の対策を入れたものがディフェンスツリー、動的な影響を入れたものがアタックカウンターメジャーツリー、確率的な影響を入れたものが（一般の呼称を用いて）Bayesianネットワークとなります。 さらに、状態空間表現に代表されるCPSのモデルを組み込むことも可能であり、まとめてMarkov決定過程と呼ばれるクラスの確率モデルで表現されます。 確率モデルはBayes推論に基づく防御手法を自然に導き、例えばBayesian侵入検知等が各論的に提案されています。 その本質的アイデアは、観測信号から攻撃者の存在および妥当な攻撃シナリオをBayesの定理によって推測し、コスト等を考慮した上での適切な対策を講じるというものです。 この枠組みに関して私が持つ学術的疑問は「Bayes推論は騙されうるか？」、言い換えると、「適当な攻撃によって誤った推論を導くことが可能であるか？」というものです。 この疑問に対して「十分な時間の経過のもとで、どんな攻撃に対してもBayes推論は騙されない」ということを数学的に示しました。 ここでのテクニカルな困難は、攻撃側の戦略によってサンプル列に相関を発生させることが可能であるため、Bayes推論で通常仮定される独立性あるいはMarkov性が本質的に成り立たず、大数の法則や大偏差原理等の定番の漸近理論が適用できない点にあります。 本研究ではマルチンゲール理論に立ち返ることによってこの困難を解決し、主張の証明に成功しました。 得られた結果はBayes推論の持つ強力な防御性能を示唆しており、モデルベースの防御手法の妥当性を裏付けるものとなっています。
発表論文

1. H. Sasahara and H. Sandberg, "Asymptotic Security using Bayesian Defense Mechanism with Application to Cyber Deception," IEEE Transactions on Automatic Control, 2024.
2. H. Sasahara and H. Sandberg, "Asymptotic Security by Model-based Incident Handlers for Markov Decision Processes," Proc. IEEE Conference on Decision and Control, 2021.

知識・認識の非対称性を利用した“ハッタリ”によるゼロデイ攻撃に対する防御
ゼロデイ攻撃とは、防御側にとって未知の脆弱性を利用する攻撃のことであり、エクスプロイトが実行されたが最後、発覚するまで対策は不可能であると一般には考えられています。 しかしながら、人間の知識・認識の非対称性を利用して被害の軽減を図れることをこの研究では示しました。 具体的なシナリオとして、実際にはゼロデイ攻撃であるが、ゼロデイ攻撃であるかどうか攻撃側にはわからないという状況を想定します。 つまり、攻撃側は、防御側が脆弱性に気付いて対策を実行中かもしれない、という認識を持ちます。 さらに、攻撃の目的を達するまでは時間が必要であり、その間潜伏し続けるとします。 この設定は、例えばラテラルムーブメント等の数ヶ月～数年単位での攻撃を想定することに対応します。 このとき攻撃側は、システムを観測することによって防御側の行動を推定し脆弱性が既知であるか判断する、という戦略を取るのが自然です。 この前提のもと、防御側が自らの認識を隠す行動を取ることにより攻撃側は侵入の途中で撤退し得る、ということを不完備情報動的ゲームの枠組みを用いて数学的に示しました。 この結果は“ハッタリを利かす”という極めて日常的かつ人間的な感覚を厳密に表現したものであり、様々な直観的な防御手法に派生し得ると期待しています。
発表論文

1. H. Sasahara and H. Sandberg, "Asymptotic Security using Bayesian Defense Mechanism with Application to Cyber Deception," IEEE Transactions on Automatic Control, 2024.
2. H. Sasahara, S. Sarıtaş, and H. Sandberg, "Asymptotic Security of Control Systems by Covert Reaction: Repeated Signaling Game with Undisclosed Belief," Proc. IEEE Conference on Decision and Control, 2020.

デジタルツインに基づくネットワーク制御系の攻撃検出と隔離の統合設計
デジタルツインとは、IoTを用いるセンシングにより物理システムの挙動をオンラインで仮想空間に再現・予測する概念および技術のことであり、様々な応用が提案されています。 セキュリティの文脈でもデジタルツインは有用であり、特に物理的な攻撃に対する検出手法が数多く提案されています。 その基本アイデアは、本来あるべき振る舞いを仮想空間で再現し、物理空間における実際の振る舞いとの乖離を検証するというものです。 私の研究では、デジタルツインアプローチに関して、攻撃の検出だけでなく攻撃の隔離まで含めて考えた場合の、ネットワークトポロジーの変化に伴うダイナミクス（システムが従う物理法則）の変化から生じる問題を指摘しました。 IoTによるセンシングが入るということはフィードバックが入るということであり、フィードバック系はその構成に依存して応答が発振し得る（不安定化する）という事実は制御工学ではよく知られています。 ほとんどの先行研究の攻撃検出シナリオでは固定されたダイナミクスを想定しており、攻撃の隔離による不安定化の可能性は一切検討されていませんでした。 例えばスマートグリッドでは不安定化はカスケード遮断を招き、大規模停電に繋がりうる絶対に避けるべき問題の一つです。 この問題を解決するために、ダイナミクスの変化を陽に考慮した上で安定性を理論的に保証する、攻撃の検出と隔離の統合設計を行う枠組みを提案しています。 得られた結果はCIGRE Networks（欧州配電網のベンチマークモデル）を用いたシミュレーション等によりその有効性の確認を行っています。
発表論文

1. H. Sasahara, T. Ishizaki, J. Imura, and H. Sandberg, "Disconnection-aware Attack Detection and Isolation with Separation-based Detector Reconfiguration," IEEE Transactions on Control Systems Technology,. 2022.
2. H. Sasahara, T. Ishizaki, J. Imura, and H. Sandberg, "Disconnection-aware Attack Detection in Networked Control Systems," Proc. IFAC World Congress, 2020.

その他：大規模フィードバック制御系のモジュラ設計・離散値信号に対する圧縮センシング等
制御理論・最適化・信号処理をベースとした、セキュリティ以外の研究も行っています。
発表論文

1. H. Sasahara, T. Ishizaki, J. Imura, H. Sandberg, and K. H. Johansson, "Distributed Design of Glocal Controllers via Hierarchical Model Decomposition," IEEE Transactions on Automatic Control, 2023.
2. M. Lindström, H. Sasahara, X. He, H. Sandberg, and K. H. Johansson, "Power Injection Attacks in Smart Distribution Grids with Photovoltaics," Proc. European Control Conference, 2021.
3. H. Sasahara, T. Ishizaki, and J. Imura, "Parameterization of All Output-Rectifying Retrofit Controllers," IEEE Transactions on Automatic Control, 2021.
4. T. Ishizaki, H. Sasahara, M. Inoue, T. Kawaguchi, and J. Imura, "Modularity-in-Design of Dynamical Network Systems: Retrofit Control Approach," IEEE Transactions on Automatic Control, 2021.
5. H. Sasahara, T. Ishizaki, T. Sadamoto, T. Masuta, Y. Ueda, H. Sugihara, N. Yamaguchi, and J. Imura, "Damping Performance Improvement for PV-Integrated Power Grids via Retrofit Control," Control Engineering Practice, 2019.
   
6. H. Sasahara, K. Hayashi, and M. Nagahara, "Multiuser Detection based on MAP Estimation with Sum-of-Absolute-Values Relaxation," IEEE Transactions on Signal Processing, 2017.