デジタル分野の新ビジネス創造にセキュリティは欠かせない

　IoT（Internet of Things）やビッグデータで新たなビジネスを創出したり、クラウド環境を活用してビジネスを拡張したりする前提には、セキュリティの確保やデータプライバシー管理の徹底が不可欠だ。しかし、現時点においては、こうした問題は解決されていない。國分氏は、「サイバーセキュリティ対策は、もはや経営ガイドラインのレベルではなく、技術標準レベルとして協議が進んでいる」と指摘する。つまり「このセキュリティ技術を標準として利用していなければ、ビジネスパートナーとして認められない」というレベルで議論が進んでいるという。

　現在、NISTはサイバーリスクを「経営」「タスク・手順」「技術」の3階層に分類しており、タスク・手順と技術のガイドラインを示した「SP800シリーズ」には、セキュリティの対策状況を評価するための指標や、セキュリティ・インシデントへの対応手順をまとめたガイダンスなどが具体的に示されている。

　例えば、IoTを利用したビジネスを展開する場合には、収集したデータをどこに蓄積するか。そのサーバ（データセンター）はセキュリティが確保されているのか。もし、インシデントが発生した場合には、どのような対策を講じるべきかといった事項が、細かく示されているのだ。

「IoTを活用してグローバルでビジネスを展開したいという日本企業は、こうしたサイバーセキュリティのルールを理解し、国際標準をクリアしたうえでビジネスに臨む必要がある」（國分氏）

なぜ米欧は「なかば強引に」クラウド化を進めているのか

　すでに、米国では国際標準化における重要分野とアプリケーションを定義し、現状の国際標準状況をマッピングしたうえで、具体的なターゲット選定を行っている。キーとなるアプリケーションには「クラウドコンピューティング」「緊急事態管理」「産業用制御システム」「医療ヘルスケアIT」「スマートグリッド」「投票」などがあり、どれも国の根幹を担うものばかりである。

　國分氏は、「2015年12月にNSTが公開した、『サイバーセキュリティ国際標準化における戦略目標』の中には、（米国）政府の公式戦略として、世界が米国企業のサイバー技術を必要とする環境作りをすることを明記している。つまり国家を挙げて標準化を強力に推進している。しかし、日本企業はこうした技術標準を策定する策定のワークショップやワーキンググループに参加していない。これでは世界（の標準化）から取り残される」と指摘する。

　例えば、標準化のアプリケーションの1つに挙げられているクラウドのセキュリティについても、日本と米国では温度差がある。「日本ではセキュリティ上の懸念からクラウド化に躊躇する企業は多い。しかし、米国では連邦政府主導の国家戦略の一環としてクラウド化を（なかば強引に）進めている。こうした動きは、欧州でも同様だ」（國分氏）

　米国政府がクラウドを推奨する背景には、有事の際には安全保障の観点からデータをトラッキングできるからだ。國分氏は「米国政府の推奨しているクラウドは、現在のクラウドではなく、『ジオロケーションテクノロジー』を前提にしたクラウドだ」と説明する。つまり、「どのデータが」「どこのデータセンターの」「どのストレージに格納されているのか」までをトラッキングできるクラウドソリューションが標準として求められるというのだ。


「例えば、米国IntelはCPUやチップセットなどにセキュリティ機能を組み込んだ『Intel TXT（Intel Trusted Execution Technology）』を開発している。これによって、チップレベルでのり基盤の属性情報のコントロールができる。将来的には、『Intel TXT搭載マシンを運用しているクラウドホスティング・サービス』が標準になる可能性がある」（國分氏）

【次ページ】日本版FedRAMP設立の検討をすべき