2025.09.26第2回川口 洋と語る! セキュリティ時事放談
情報セキュリティのプロとして、多くの組織のサイバーセキュリティに関わってきた株式会社川口設計 代表取締役の川口 洋氏が、今会いたい人を招いて、その人物にフォーカスを当てながら、セキュリティについて語り合います。
株式会社川口設計
代表取締役 / CISSP / CEH
川口 洋 氏 氏
2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属。2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、国民向け普及啓発活動などに従事。2018年 株式会社川口設計 設立。「Sky脆弱性報奨金制度」を監修。
セキュリティ芸人
アスースン・オンライン 氏 氏
ゲーム会社でプログラマーとして勤務する傍ら、セキュリティ芸人として活動。YouTubeチャンネル「脆弱エンジニアの日常」では、セキュリティとお笑いを融合させたスタイルで登録者数3万人を突破。サイバーセキュリティアワード 2023 最優秀賞(Web・コンテンツ部門)を受賞し、翌年から審査員を務める。東京工業大学卒業(修士)。セキュリティ・キャンプの講師として、人材育成にも携わる。
【第2回】
エンジニアとセキュリティ芸人、
二足のわらじで脆弱性を問う!
二足の
現役のエンジニアでありながら、「脆弱だな~!」のツッコミで脆弱性に関する情報やセキュリティに関する話題を斬る“セキュリティ芸人” として活動するアスースン・オンライン氏に、その活動の極意を伺いました。
100万回以上再生の本気ネタ
笑えたらセキュリティ理解力アリ
笑
川口氏
最初の出会いは、セキュリティ・キャンプ※でしたよね。
- IPA(独立行政法人 情報処理推進機構)が主催する、学生に対して情報セキュリティに関する高度な技術教育を実施し、次代を担う情報セキュリティ人材を発掘・育成する事業。
アスースン氏
はい。大学生だった2017年に参加しました。その際、グループワークの講師をされていたのが川口さんです。
川口氏
毎年100人近くが参加しているので、残念ながらそのときの記憶が……。
アスースン氏
私のチームは、セキュリティのコミュニティづくりについて取り組み、グループワーク賞をいただきました。川口さんに対する最初の印象は「セキュリティ業界にこんな面白い人がいるんだ!」です。その後、講師をされている同様のイベントのチューターに応募したこともあります。
川口氏
岡山でのイベントですね。それは覚えています。そして気がつけば、セキュリティ芸人として有名になられて。
アスースン氏
ありがとうございます。R-1グランプリ(以下:R-1)にチャレンジしようと思い立ったのは、大学院生の頃です。社会人になったらいつか出たいと思っていました。初めて人前でセキュリティ芸人のネタを披露したのは、国立研究開発法人情報通信研究機構(NICT)が主催する、SecHack365という人材育成プログラムの課題発表の場です。
その後、セキュリティ・キャンプの運営の方が声を掛けてくださって、セキュリティ・キャンプの会場で参加者に向けてネタを披露する機会をいただきました。その様子は今でもYouTubeで公開されていますので、皆さんにご覧いただけます。あのネタでクスッと笑えるのは、セキュリティリテラシーを持っている人なので、笑えた方は安心してください(笑)
SecHack365でもう一つ取り組んだのは、通信パケットの種類と方向に合わせて、まるでパケットが流れたかのように光るLANケーブルの制作です。LANケーブルにLEDテープライトがついていて、送信・受信の通信の向きとプロトコルによって、流れ星みたいにヒュンヒュンと通信が流れる様子を視覚的に確認できます。コンピューターを操作しながらパケットを観察できるので、「どういう操作」をしたときに「どういうパケット」が発生するのかを体感できます。
アスースン氏制作の光るLANケーブル
川口氏
あれはバズりましたね。
アスースン氏
光るLANケーブルは、セキュリティ・キャンプに参加したことが発想のきっかけです。ネットワークや組込みに取り組まなければ思いつかなかったと思います。
川口氏
セキュリティ・キャンプやSecHack365に参加する人なら、光るLANケーブルのアイデアが思いつく可能性はあったかもしれませんが、セキュリティ芸人のアイデアが浮かんだきっかけは何だったんですか?
アスースン氏
SecHack365の応募をきっかけに、これらのアイデアを考えました。セキュリティの啓発となるコンテンツを作るという漠然としたテーマがあって、セキュリティの博物館とか、マルウェアに感染するゲームを作るとか、ラジオ番組ができないかを考えているなかで出てきたうちの一つがセキュリティ芸人です。もともとお笑いが好きで、お笑いとセキュリティを組み合わせてネタをプロデュースしようと考えました。その企画を自由な発想を尊重してくれるSecHack365で提案したところ、誰にも否定されることなく通ってしまいまして。
川口氏
多くの人は、お笑いが好きでも芸人になろうとは考えませんよね。ましてやセキュリティをネタにして。SecHack365での1年間の活動の中で、セキュリティ芸人誕生に向けてどのような研究をしたんですか?
アスースン氏
そこまで強い思いを持ってスタートしたわけではなく、最初はプロトタイプのようなお試しのつもりで取り組みました。明確なセキュリティ芸人像があったわけではありません。一貫したテーマでフリップネタをやっている芸人さんはいなかったので、SecHack365のライトニングトークの場では、ネタをお笑いに振り切ったフリップ芸を披露したくらいです。今はネタを披露する場ごとに異なる、ターゲットを意識したネタ作りを意識しています。R-1の場合、観客は完全に一般のお客様なので、ネタはパスワードや画像認証。法律など多くの人になじみのある題材をテーマに作成しました。一方、技術イベントで披露するのは、専門家やセキュリティ・キャンプに参加するような人向けの高度な内容です。
川口氏
ネタは山ほど作ったんですよね?
アスースン氏
はい。でも、生き残っているのは数えるほどです。
川口氏
YouTubeチャンネルに残っている多くのコンテンツの陰で、大半は日の目を見ることなく消えていったんですね。M-1グランプリ(以下:M-1)やR-1を目指すのは、野球少年が甲子園を目指すのと同じ感覚ですか? そこにいたるプロセスがすごいと思っていて。
アスースン氏
私の場合はもともと何かインパクトのあるものを作れたらという別の夢を持っていましたので、賞レースに結びついていたわけではないんです。例えば、初音ミクを生み出した歌声合成技術 VOCALOID™を使った何かとか。VOCALOIDは、技術的にも革命だったと思いますが、すでに一つの文化となって世界的に認められ、多くのクリエイターを排出しています。そのような新たな概念をつくりたいという野望を持って迷走を続けるうちに社会人になり、さまざまな経験を経てR-1に挑戦するという目標ができました。ただし、その初回は1回戦で敗退までがワンセット。出場さえすれば目標達成のところが、過去のネタを寄せ集めてR-1向けに練り直したら、1回戦を通過してしまったんです。これは、想定外でした。
川口氏
いや、すごいですよ。
アスースン氏
2回戦からは、シード権で出場してくる有名な芸人さんも加わります。広い会場でお客さんを前にネタを披露できるのを楽しみにしていたんですが、理想と現実の差は大きくて……。2回戦はまだお客さんもまばらな上に、「強度えぐい」のボケでこんなにも静かになることってある? というくらい会場が静まり返ってしまい、動揺してその後のネタをかんでしまいました。あの状況に比べたら、今はどこでネタを披露しても怖くありません。
川口氏
M-1にも出ていますよね。
アスースン氏
大学時代の友人が、私がR-1に出場したことに触発されて誘ってきたんです。二人でネタを作って挑みましたが、1回戦で敗退しました。実はキングオブコントにも挑戦しましたが、こちらも1回戦で敗退という結果に……。
川口氏
挑戦しようと思って実際に行動できることが素晴らしいと思います。ところで、大学では何を専攻していたんですか?
アスースン氏
コンピューターで人を楽しませる使い方ができないかを考えるのが好きで、HCI(Human-Computer Interaction)という人間とコンピューターの相互作用の研究をしていました。
川口氏
セキュリティではなかったんですね。
アスースン氏
はい。主に画像処理とシステムの双方向のやりとり、インタラクティブシステムの研究をしていました。
セキュリティ芸人の本職はエンタメ好きなエンジニア
川口氏
ところで、セキュリティ・キャンプに参加する程セキュリティに興味を持ったきっかけは何だったんですか? セキュリティ・キャンプの全国大会には、事前に課題に取り組んだ上、審査を通過しなければ参加できません。大学時代の専攻がセキュリティではなかった話を聞いて、なぜ通過できたのか不思議に思いました。
アスースン氏
当時、知識欲に飢えていた私は「もっと勉強したい」という思いが強く、さまざまな資格試験を受けまくっていました。その中にセキュリティの資格、応用情報技術者試験や情報セキュリティスペシャリスト試験があったんです。また、当時の仲間にはセキュリティを学んでいる人たちがいて、その中には高校生でセキュリティ・キャンプに参加、大学時代にはすでに講師を務めているような人もいました。セキュリティ関係の資格にチャレンジしたのは、彼らの影響も大きかったと思います。そして、せっかくセキュリティの資格を取ったなら、セキュリティ・キャンプに応募したらと勧めてくれました。セキュリティ・キャンプに参加して、ネットワークや組込みシステムに取り組んだことが、あの光るLANケーブルの発想につながっています。
川口氏
そこまで頑張ったにもかかわらず、今はセキュリティ技術者ではないんですね。
アスースン氏
ずっと、人を楽しませる仕事に就きたいと考えていました。学生時代には映像制作に取り組んでいたくらい、エンターテインメントが好きなんです。そんな私が選んだのは、ゲームメーカーに就職してゲームを開発することでした。現在はスマートフォンゲームを開発しています。また、ゲームというエンターテインメントをビジネスの視点で学ぶことは、セキュリティ芸人の活動に生かせると考えました。
川口氏
ゲーム開発にはさまざまな工程がありますが、現在はどのような作業を担っているんですか?
アスースン氏
クライアントエンジニアとして、ゲームを開発するためのツール作成などに関わっています。今後リリース予定の複数のバージョンを並列で開発するため、全工程に関わるゲームプランナーや、不具合がないかをテストするQA担当者の業務が滞ると、リリースへの影響が避けられません。そこで、彼らの業務が順調に進むよう、一連のプロセスを整備することも担当業務の一つです。
川口氏
ゲーム開発の効率化を支える役割ですね。
アスースン氏
そうですね。技術的な負債状況が見える業務なので、それがネタに結びつき、芸人としての活動に生かせています。
川口氏
芸人さんの養成所へ進むことは考えなかったんですか?
アスースン氏
芸人1本でいくより、エンジニアとして突き抜けた存在になった上で芸人をやれるのが理想だと考えています。技術だけでなく、実際の現場のこともよくわかった上でネタを作っていきたいので、今後もエンジニアと並行して芸人活動を続けていく予定です。
川口氏
「セキュリティ芸人」と名乗ったのはいつからですか?
アスースン氏
2023年のR-1出場がきっかけです。名乗り始めてまだ数年しかたっていません。本職はエンジニアなので、芸人と名乗るのはなかなか勇気が要りました。R-1に初めて出場した2023年はなぜか1回戦を突破してしまいましたが、翌年は予選で敗退しました。
川口氏
2024年には、福井県警から『サイバーセキュリティフォーラムin鯖江』のゲストスピーカーを依頼されましたよね。
アスースン氏
あのときは驚きました。ある日突然、福井県警からメールが届き、何かやらかしてしまったのかと一瞬焦りましたね。ネタを披露してくださいというお話でしたので、喜んでお引き受けしましたが、当日は、駅から車で送迎していただき恐縮しました。イベントではネタの披露とパネルディスカッションにも登壇させていただいたんです。
川口氏
そのとき披露したネタは、YouTubeの福井県警察公式チャンネルで「アスースン・オンライン氏によるセキュリティ漫談☆」として公開されていますね。他府県の警察の方とお会いすると、かなりの割合で「川口さん、アスースンさんとお知り合いですか?」と聞かれます。イベントでネタを披露してほしいと考えている警察の方、結構いらっしゃるみたいです。
アスースン氏
警察からの依頼は、対象がセキュリティ担当者以外の場合が多いと思いますので、日頃考えているネタとは別に、経営者の方や一般の方にも響く内容を準備しておかなければいけませんね。
川口氏
絶対に楽しいと思いますから、偶然を装って会場に行ってみたいです。
将来の夢はセキュリティ番組の制作
川口氏
それにしても、セキュリティに関する啓発をプライベートな活動で続けているのはすごいと思います。YouTubeで公開している「脆弱エンジニアの日常」は、すでにかなりの投稿数になりましたよね。そもそも、なぜタイトルを「脆弱エンジニア~」にしたんですか?ツッコミで使っている「脆弱だな~!」のフレーズがウケたから?
アスースン氏
セキュリティの世界に完璧はありません。たとえ完璧だと思っても、そんなことは口が裂けても言えない。だから、自ら脆弱と名乗ることで、やはり人って脆弱なんだと気づいてくれたらという思いで「脆弱エンジニア」にしました。また、「日常」というアニメが好きだったので、寄せたタイトルにしたかったんです。そのアニメは、日常というタイトルなのにとてもシュールな非日常的が描かれています。私もエンジニアとしては型破りな存在だと思いますので、ほかの人から見た非日常をお届けできたらという思いでネーミングしました。
川口氏
最初の動画制作は大学生のときだとか。
アスースン氏
SecHack365の参加者と一緒にネタ動画を作ったのが始まりです。今は、広く情報工学のエンターテインメント動画を紹介するバラエティー番組を目指しています。セキュリティやITを題材にしたネタもあれば、CTF(Capture The Flag)※2のゲーム実況のようなスタイルやIT系のゲームもあって、その中の「CPUを作るゲームで勝手にコンパイラ書いて無双する」は4万再生を超えました。コンパイラってプログラムの中でも難し過ぎるジャンルですから、楽しく学びたいと思っている人の需要に応えることができたのかなと。情報を届けたい人に届けることができるのが、ネットの世界の素晴らしさだと実感しています。
川口氏
玄人向けのテキストエディタVimを取り上げた動画なんて、11万再生を超えていますよね。個人的には、IPPONグランプリみたいな大喜利「宇宙人がエラー吐いた」が面白かったです。
大喜利ショート動画
アスースン氏
あれは、私が主催したCTFに参加してくれた、一般の方の回答です。
川口氏
いろんな人のネタを取り上げてツッコミを入れていく、まさにIPPONグランプリですね。
アスースン氏
そうですね。今の私の興味関心は、人材育成にも向いていまして、2025年はセキュリティ・キャンプの講師もやらせていただきました。若い人のエネルギーが本当にすごくて圧倒されましたが、私が感じているエンジニアやセキュリティの楽しさを彼らに広めたいとあらためて感じ、そのための活動に注力しています。
川口氏
精力的なコンテンツ作り、本当に素晴らしいです。
アスースン氏
将来的には番組を作りたいんです。世の中にセキュリティ芸人がいないからセキュリティ芸人を創ったように、面白いセキュリティの番組を作りたいと思い描いています。
川口氏
その際は、Skyさんにスポンサーをお願いしてください(笑)
アスースン氏
ぜひ(笑)川口さんは、経営者の方や警察官の方に向けた講演をされる機会が多いですよね。この話をしたら絶対にウケるネタがあれば教えてください。
川口氏
最近は変わってきましたが、20年くらい前であれば経営者の多くはセキュリティに興味がありませんでした。というより、できればやりたくない。だから、講演中に寝てしまう人も……。でも、自分に身近な話に置き換えて話せば興味を持ってもらえます。まずは個人のメールを守りましょうというお話は鉄板です。「○○さんから届いたメールはしっかり削除したから安心。でも、消したつもりのそのメール、本当に消えていると思いますか? 皆さん、ご自身のガラケーを出して今すぐ履歴を確認してみましょう!」みたいに問いかけると、皆さん前のめりで聞いてくれます。そして「消したメールの履歴が残っていますよね。メールはないのに履歴が残っている。そして、転送設定ってご存じですか? 知らないうちに自分のメールがすべてどこかに転送されていたらどうします? 怖いですね。では、転送設定も一緒に確認しましょう!」と伝えると、寝ていた人も起きます。さらに「同じようなことは会社でも起こっています。それらに対応するのがセキュリティ対策です。」と伝えれば、経営者としてやらなければならないセキュリティ対策を自分事として聞いてくれます。
アスースン氏
個人を守る話は今でも使えそうですね。
川口氏
過去に報道された被害事例の裏側も、関心を示される方が多い話だと感じます。「セキュリティインシデントは、システムの問題だと思われがちですが、システムが止まっている間、どうやって事業を継続させるのか、重要な判断を下せるのは経営者だけです。ランサムウェアの被害を受けたとき、システム担当者からの報告を単なるシステムの停止と受け止めるのか、事業が止まってしまったと判断するのかで、事業への影響が大きく変わります。過去にランサムウェアの被害が大きく報道された病院では、Microsoft Excelや紙のカルテに切り替えて診療を継続されましたが、それだけではこれまでと同様の診療を提供することはできません。新患や予約なしの診療は断る、投薬履歴がわからないから処方した薬を持参してもらうなど、緊急時の素早い判断が求められることは山ほどあります。システムの回復だけを意識していたら、経営が成り立たなくなってしまうかもしれませんよ。」と伝えると、経営者の皆さんの目の色が変わります。
アスースン氏
今後の参考にさせていただきます!
Sky株式会社からも質問してみました!
――お笑いの賞レース向けのネタと、セキュリティ・キャンプなどのセキュリティに関わっている人向けではネタを変えているとのことですが、セキュリティ業界以外の方向けには「脆弱性」のネタは使わないんですか?
アスースン氏
脆弱性を説明できるか質問して「できる」と答えた人でも、「バージョンを上げなきゃいけないヤツでしょ」みたいに曖昧な説明しかできない場合が多いんです。そのため、一般の方向けには脆弱性の説明から始めなければならず、あまり使いません。
――今年入社した事務職の社員に、「脆弱性ってわかる?」と聞いてみたところ、予想どおり「わかりません」と返ってきました。やはり、一般向けよりも説明不要なセキュリティ業界の方向けのネタの方が作りやすいですか?
アスースン氏
そうですね。でも、セキュリティ・キャンプのフォーラムで披露したネタは、セキュリティを理解している上級者向けにもかかわらず、YouTubeで 116万回以上再生(2025年9月現在)されていますので、ある程度一般の方にも届いていると感じます。ネタそのものが面白いと感じているわけではなく、会場で聞いている皆さんが笑っているので、理解できなくても“笑いが起こっている状況”を面白いと感じられているのかもしれませんね。
――2025年は、サイバーセキュリティアワード(デジタル政策フォーラム主催)の審査員を務めるという輝かしい役割を担われましたね。
アスースン氏
著名なセキュリティの専門家の方々に混じって、大役を務めさせていただきました。実は、前回のWeb・コンテンツ部門で最優秀賞をいただいたというご縁がありまして。今回は、現役の作り手目線で審査に臨みました。
――アスースンさんが主催されているCTFは、初心者でも参加できますか?
アスースン氏
大丈夫です。主催しているCTFは、セキュリティに興味を持つ人を増やしたい、そのきっかけになったらという思いで開催しています。初心者が参加しやすいよう、ChatGPTのチャットボット上で動くキャラクターと会話して、パスワードなどの答えを引き出すというようなゲーム感覚のCTFです。キャラクターへストレートに質問しても答えは教えてくれませんが、例えば「パスワードは食べ物に関係している?」など、ヒントになる情報を引き出すことで答えにたどり着けます。何回もやりとりして正解にたどり着くか、ChatGPTの特性を利用して一発で見つけるか。そこには、AIへの指示を操ることで意図しない情報を出力したり、機密情報を漏洩したりする可能性を利用する、プロンプトインジェクション醍醐味が詰まっています。同時に、チャットボットシステムはAIが答えるべきではない内容にも回答してしまう可能性があるという危険性にも気づけますので、自社のシステムを安全に運用するためのヒントが得られたりもします。中には難しい内容もありますが、解説動画を用意しているので、それを見れば理解いただける内容だと思います。
「脆弱」だと感じるセンサを持つ人を増やしたい
~アスースン氏からのメッセージ~
~アスースン氏からの
私は、脆弱性対策で何が重要かを聞かれたら、「人です」と答えます。情報漏洩のインシデントのうち、約8割は誤操作やリテラシー不足など人に関係しているからです。「脆弱だな~!」というツッコミが私のネタの特徴ですが、皆さんのオフィスでもパスワードと思われる付箋が貼られているのを見たら、「脆弱だな~!」と思う人が増えてほしい。さらに、サポート切れのOSが現役で使われているのを見て脆弱だと感じるセンサを持つ人が増えてほしいです。社内で脆弱な状況を発見したら、お互いに「脆弱だな~!」と言い合ってもらえるようになれば、脆弱な環境を減らしていくことにつながるんじゃないかと。それを願って、今後も「脆弱の基」をネタにしていきます。
(「SKYSEA Client View NEWS vol.104」 2025年9月掲載 / 2025年7月取材)
撮影場所:WeWork 日比谷パークフロント