セキュリティ技術レベルでの国際標準化対応に大きく出遅れた日本企業に残された道|サービス:テクノロジーストラテジー&アーキテクチャー|デロイト トーマツ コンサルティング|Deloitte

ナレッジ

セキュリティ技術レベルでの国際標準化対応に大きく出遅れた日本企業に残された道

日経ビジネス12/9発売号掲載

IoT、ビッグデータ、ロボット、AIなど、ITの急速な進化・拡大に、企業は次代のビジネスの期待を寄せる。今、世界のビジネスは、セキュリティを基本ルールとした世界へ組み替えられつつあるが、日本企業はそれに気づいていない。警鐘を鳴らす、デロイト エクスポネンシャル カンパニー ヴァイスプレジデント 安井望、國分俊史の対談記事をご案内したい。

セキュリティルールがビジネスの土台となる

國分:
この数年、アメリカではセキュリティの概念が大きく変わりました。アメリカ政府はセキュリティそのものを、ビジネスルールにする戦略を展開しています。

安井:
日本では、セキュリティは仕方なくやること、最小限のコストですればよいこと、という意識がある。しかしアメリカはここに戦略の基本を置いたんですね。

國分:
NIST(アメリカ国立標準技術研究所)などが、サイバーセキュリティの技術標準を整備し、しかも「クラウド・ファースト」という国家戦略に沿って、セキュリティに関するさまざまな技術をクラウドの中に置いています。EUもこの動きに呼応し、ENISA(欧州ネットワーク・情報セキュリティ機関)は、NISTと協力し合って、サイバーセキュリティの標準を策定しています。日本だけが蚊帳の外なのです。

安井:
海外の有力IT企業はこの戦略に乗って事業展開しようとしていますが、日本企業はこの本質に気づいてすらいません。こうなると、日本企業だけが取引から外されてしまう可能性が高い。

優れた技術や製品も認証がなければ、絵にかいた餅に

國分:
例えばIoTです。IoTに期待し、機能の高いセンサー開発に力を入れる日本企業は数多い。しかし各企業がばらばらに研究開発を進めています。
ところがアメリカではIoTのセンサーの鍵は低消費電力の環境下で高度な暗号化を実現できることにあると考え、国家レベルでセンサーデータの暗号研究に取り組んでいます。それに投資しているのはDARPA(アメリカ国防高等研究計画局)です。また、IoTの実現のための鍵の一つに時間の測定があります。あらゆるモノが接続される世界では、モノそれぞれの時計が、わずかミクロの秒数違うだけで、役に立たなくなる可能性がある。そのため時間を完全同期させるために、時間測定の研究に力を入れています。物事の根本を押さえる発想なんですね。

安井:
日本には官民ともにこういう発想がありません。その結果、日本企業がいくら優れた製品や技術を開発しても、提供できなくなるかもしれません。

國分:
アメリカでは政府共通のクラウドセキュリティ基準「FedRAMP」を策定し、これを国際標準にすることを狙っています。すると将来、こうした認証なしではビジネスができなくなることもあり得ます。日本企業がいかに優れた介護ロボットを開発しても、セキュリティ認証が得られなければどこでも利用されない可能性がある。市場に出た製品がセキュリティ認証がなかったためにリコールされたときなどは、株主代表訴訟の原因にもなりますね。

安井:
海外で収集したマーケティングデータ、購買データなどを日本で使えなくなることも十分考えられます。

日本版の標準プラットフォーム開発が急務

國分:
日本のサイバーセキュリティが遅れた理由を考えると、日本では「外敵に侵入されない」ことを唯一最大の目標にしてしまうことがあります。

安井:
外部からの攻撃に対して守ることしか考えていない。入られた後のことは想定しないんですね。

國分:
しかしどれほど守りを堅牢にしても100%防ぐことはできません。だから侵入されたとき、いかに早く発見し、リカバリーするか、と考えることが重要。世界的にはこれが普通の考え方ですが、日本には「安全神話」という文化があってなかなかそれができない。

安井:
クラウドとの関係で言うと、あらゆるビジネスがクラウドへと移行しつつある理由の一つがセキュリティです。今、世界中の企業でセキュリティを担える人材が不足し、自社で管理することが困難になっています。クラウドにすると共通プラットフォームで集中管理でき、堅牢化しやすく、人員も少なくてすみます。私は、日本企業が、基幹系システムをクラウド化してほしいと思っています。ところがそこまで実行した場合を試算すると、予想したよりコストがかかる、という不満も出てくる。

國分:
目先のコストだけで判断するからですね。しかしセキュリティを担保でき、セキュアなルールの中でビジネスができること自体が、計り知れないプレミアム。情報が価値であることを理解していない企業が多いんですね。

安井:
日本企業は意識を変えなくてはいけませんね。同時に日本中の知を集結して、日本版の標準プラットフォームを開発し、そこにシステムを載せることを考えるべきです。グローバル標準のプラットフォームにはそこから接続できるように設計すればよい。私はそうした変革のお手伝いをしたいと考えています。

國分:
日本企業はまず、グローバル標準に乗って、それからルールづくりに参画したり、独自技術を上乗せする方法が現実的かと思います。しかし世界のセキュリティ標準の進行度を見ると、急ぐ必要があります。できるだけ早く、事業のクラウド移行を進めるべきですね。

安井:
ただ日本は“官”が強い文化でもあるので、民間企業だけでは事が動きません。政策に反映させ、“民”を動かす必要もあります。

國分:
今年、当社が支援して多摩大学内に設立したシンクタンク「ルール形成戦略研究所」には、サイバーセキュリティ国際標準化研究会を置き、日本の大手企業16社が参加しています。ここでは単に研究だけでなく、具体的な政策案を策定し、政府に提言していくことになりました。

安井:
今後、日本企業は否応なくセキュリティがビジネスルールである時代を生き抜かなくてはなりません。しかし、今後のセキュリティについては、どうすべきかわからないという企業がほとんどです。これからは一緒に、具体的な方策へ踏み出していければ幸いです。こうした事態を受け、当社ではグローバル標準のデジタルプラットフォームを準備しています。

PDFダウンロード

PDF版はこちらからダウンロードをお願いいたします。
(日経ビジネス12/9発売号に掲載しました)

〔PDF, 576KB〕
お役に立ちましたか?