「経営者のなかには『これからはIoTで儲けたい』と意気揚々と話す人もいるのですが、『参入障壁にサイバーセキュリティのルールがあるとご存じですか?』と指摘すると、たいていぽかんとされてしまいます」と多摩大学ルール形成戦略研究所 所長 國分俊史氏は言う(國分氏はデロイトトーマツコンサルティング合同会社執行役員でもある)。
いかに優れたセンサーを開発しようとも、サイバーセキュリティの国際標準をクリアしていない製品であれば売れないということにもなりかねない。これから欧米ではサイバーセキュリティに関する標準化が進むことが確実視されているなか、残念ながら日本は出遅れている。この状況に國分氏は警鐘を鳴らす。
最近サイバーセキュリティ国際標準化の動きを日本からキャッチアップするべく、協議のプラットフォームが形成されて動き始めたところ。その中心となるのが2016年9月に発足した多摩大学 ルール形成戦略研究所(CRS)のサイバーセキュリティ国際標準化研究会だ。米国でサイバーセキュリティの技術標準の構築を進めているNIST(米国国立標準技術研究所、米国商務省配下)と協力、連携する。日本からは経済産業省、総務省、内閣官房、さらに民間企業(現在16社)も参画して政産官学横断で議論が進められている。2016年12月には政府への提言を行う予定。
10月20日には「IoTビジネスの落とし穴は、サイバーセキュリティの国際標準化にあり」と題したセミナーが開催され、CRS所長の國分氏やNIST関係者らが登壇し、国際ルール形成の動向を解説した。
サイバーセキュリティ国際標準というと経営ガイドラインかと思いきや、それだけではない。NISTではサイバーリスクを経営だけではなく技術も含めて3階層に分類してフレームワークから推奨技術を定義しており、國分氏は「これが事実上のミニマムスタンダード化する可能性があります」と話す。米国では重要分野とアプリケーションを定義して標準化状態をマッピングしており、具体的なターゲット選定が進められている。毎月のようにワシントンなどで会合が開かれているなか「日本企業からは1社も参加がありません」と國分氏は指摘する。
標準化の動きとして注視すべきはクラウド分野。NISTは国際標準策定機関(ISO)や欧州標準策定機関(ETSI)と共同でワークショップや研究会を開催しており、ここでクラウドをベースとした標準化を進めてきている。標準としてクラウドは当然の前提のようになってきている。
昨今の標準化の動きでは、クラウドが動作する基盤の属性情報(サーバーが設置されている場所やパッチの有無)などトラッキングできることも挙げられている。それを実現するにはIntel TXT(Intel Trusted Execution Technology)チップが有効とされているため、クラウド選定時には「Intel TXTチップ入ってる?」で判断するという可能性も出てきている。ほかにも電力や暗号化などで様々な標準化の要件が具体的に決まりつつある。
