警備資料

アクセスカウンタ

zoom RSS 世界に遅れる日本のサイバーセキュリティ 「安全神話」が障壁に

<<   作成日時 : 2017/03/17 17:00   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

米国主導で進む技術レベルのルール形成が日本のIoTビジネスの参入障壁となるリスクについて、多摩大学大学院教授・ルール形成戦略研究所所長の國分俊史が解説する。



昨今の日本ではIoTブームが沸き起こっているが、実はアメリカとEUではサイバーセキュリティに関する技術レベルでの国際規格作りが進んでおり、ルール形成が大詰めを迎えていることに日本の経営者の多くは気づいていない。

事実、この記事を読み始めたあなたは「NIST SP800-53」で指定された技術体系が国際標準となり、これに則ったシステム構築・運用に、自社だけでなくサプライヤーも対応できていなければ2018年5月10日以降、アメリカとEU市場から締め出される恐れがあるということをご存じだろうか?

NIST: National Institute of Standards and Technology(米国国立標準技術研究所)とは、米商務省配下にあり、米国で官民の窓口となってサイバーセキュリティ基準の策定を任されている組織だ。SP800を含むNIST文書は法的拘束力を持たないが、各連邦政府規制当局はこれを参照する形で調達基準を設定しており、米国市場はもちろん、グローバル市場において最低限のサイバーセキュリティのスタンダードになる可能性が高い。

EUでは既に国際標準となったサイバーセキュリティ技術の利用を義務付ける法律が2016年8月に施行された。アメリカも、国防総省と取引する企業に対し、2017年12月31日までにサプライヤーを含めたNIST対応を求める通達が出されており、国防総省の調達基準が順次他省にも広がっていくことが予想されている。

つまり、2018年以降はNIST主導で国際標準化されたサイバーセキュリティ技術体系へと、社内システムおよび自社のサプライヤーが対応していなければ、製品の輸出やIoTビジネスを行う際のデータ連携が許されなくなる可能性が極めて高い。他方日本ではITベンダーさえも十分に認識できていないところが多い。

こうした事態を受けて、ルール形成戦略研究所では16年9月5日に「サイバーセキュリティ国際標準化研究会」を大手企業19社と経産省、内閣官房、総務省、自民党IT戦略特命委員会で設立し、NISTとの協議の場を設けながらカウンター案の検討に着手した。10月にはNISTの上級IT政策顧問としてサイバーセキュリティの国際規格作りをリードしているアダム・セジェウィックを招へいし、米国でのルール形成の方針を講演いただいた。

そこで明らかになったのは、企業が利用するシステムは原則クラウド化させていくということだ。それも、アメリカ政府がクラウドの調達に際して基準として用いているFedRAMP(Federal Risk and Authorization Management Program)というセキュリティ認証を国際標準とし、この技術パッケージの利用を世界のルールにしていくという。

NISTIR 7904という公開文書にも記載されているが、アメリカでは、これからのクラウドはジオロケーションテクノロジーという概念に基づき、自社のデータがどこのサーバの、どのCPUおよびディスクで処理されているのかを常にリアルタイムでトラッキングできることを要件にするとしている。

つまり、社内システムのクラウドはもちろん、そのクラウドはデータの所在が分かるデータセンターで運用されるものでなければならない。日本のITベンダーが提供しているクラウドは、これに未対応だ。

これ以外にも日本にとって衝撃的なのがIoT製品に組み込むセキュリティ技術の国際標準作りだ。セジェウィックいわく日本のセキュリティに対する考え方は、「破られないようにする」ところで思考が止まっている。

これからの技術体系は「1. 特定、2. 防御、3. 検知、4. 対応、5. 復旧」という5つの機能が盛り込まれていることを必須にすべきであり、この体系に照らして機能に漏れがあった場合はセキュリティの標準を満たさない。日本の製品は3. 以降が安全神話によって検討されていない。

他方、アメリカやヨーロッパではウィルス感染や乗っ取りを前提に設計し、そうした事態をいかに早く発見して影響範囲を最小化して問題を解決し、迅速に復旧を果たせるかを基本設計思想にしている。日本の自動運転、発電設備、医療機器、家電、警備システム等での対応は、残念ながらこれからである。

IoTのようなビジネスのパラダイムシフトが起こる背景には、必ずルール形成戦略が存在していることは世界の常識だが、今回も日本は技術偏重でIoTブームに突入し、真の戦略思考が欠落したままだ。最後に、ここで紹介したNISTのルール形成はほんの一部である。手遅れにならないよう、筆者も政策立案支援で最善を尽くしたい。

國分俊史◎多摩大学大学院教授/ルール形成戦略研究所所長。デロイトトーマツコンサルティング執行役員。パシフィックフォーラム 戦略国際問題研究所(CSIS)シニアフェロー。安全保障経済政策のアドバイザーとして政府の委員等も歴任。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
世界に遅れる日本のサイバーセキュリティ 「安全神話」が障壁に 警備資料/BIGLOBEウェブリブログ
文字サイズ:       閉じる