ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

関連ジャンル

セキュリティ戦略

会員限定

2016年11月22日

多摩大学 國分俊史所長が警鐘

IoT活用企業が取り組むべき「セキュリティの国際標準」とは

サイバーセキュリティ対策は、グローバル規模での喫急な課題となっているが、米国では商務省国立標準技術研究所(NIST)がイニシアチブを執り、標準化を推進している。また、欧州連合(EU)でも、欧州ネットワーク情報セキュリティ庁(ENISA)がNISTと連携し、法的拘束力を持つEU全域のミニマムセキュリティ基準の強化として「NIS指令」を採択した。こうした世界の標準化の流れに対し、「日本の対応は遅れている」と警鐘を鳴らすのは、多摩大学ルール形成戦略研究所 所長の國分俊史氏だ。

執筆:鈴木 恭子

photo

多摩大学 ルール形成戦略研究所 所長の國分俊史氏。同氏はデロイト トーマツ コンサルティングの執行役員も務めている

デジタル分野の新ビジネス創造にセキュリティは欠かせない

関連記事
 IoT(Internet of Things)やビッグデータで新たなビジネスを創出したり、クラウド環境を活用してビジネスを拡張したりする前提には、セキュリティの確保やデータプライバシー管理の徹底が不可欠だ。しかし、現時点においては、こうした問題は解決されていない。國分氏は、「サイバーセキュリティ対策は、もはや経営ガイドラインのレベルではなく、技術標準レベルとして協議が進んでいる」と指摘する。つまり「このセキュリティ技術を標準として利用していなければ、ビジネスパートナーとして認められない」というレベルで議論が進んでいるという。

 現在、NISTはサイバーリスクを「経営」「タスク・手順」「技術」の3階層に分類しており、タスク・手順と技術のガイドラインを示した「SP800シリーズ」には、セキュリティの対策状況を評価するための指標や、セキュリティ・インシデントへの対応手順をまとめたガイダンスなどが具体的に示されている。

 例えば、IoTを利用したビジネスを展開する場合には、収集したデータをどこに蓄積するか。そのサーバ(データセンター)はセキュリティが確保されているのか。もし、インシデントが発生した場合には、どのような対策を講じるべきかといった事項が、細かく示されているのだ。

「IoTを活用してグローバルでビジネスを展開したいという日本企業は、こうしたサイバーセキュリティのルールを理解し、国際標準をクリアしたうえでビジネスに臨む必要がある」(國分氏)

なぜ米欧は「なかば強引に」クラウド化を進めているのか

 すでに、米国では国際標準化における重要分野とアプリケーションを定義し、現状の国際標準状況をマッピングしたうえで、具体的なターゲット選定を行っている。キーとなるアプリケーションには「クラウドコンピューティング」「緊急事態管理」「産業用制御システム」「医療ヘルスケアIT」「スマートグリッド」「投票」などがあり、どれも国の根幹を担うものばかりである。

 國分氏は、「2015年12月にNSTが公開した、『サイバーセキュリティ国際標準化における戦略目標』の中には、(米国)政府の公式戦略として、世界が米国企業のサイバー技術を必要とする環境作りをすることを明記している。つまり国家を挙げて標準化を強力に推進している。しかし、日本企業はこうした技術標準を策定する策定のワークショップやワーキンググループに参加していない。これでは世界(の標準化)から取り残される」と指摘する。

 例えば、標準化のアプリケーションの1つに挙げられているクラウドのセキュリティについても、日本と米国では温度差がある。「日本ではセキュリティ上の懸念からクラウド化に躊躇する企業は多い。しかし、米国では連邦政府主導の国家戦略の一環としてクラウド化を(なかば強引に)進めている。こうした動きは、欧州でも同様だ」(國分氏)

 米国政府がクラウドを推奨する背景には、有事の際には安全保障の観点からデータをトラッキングできるからだ。國分氏は「米国政府の推奨しているクラウドは、現在のクラウドではなく、『ジオロケーションテクノロジー』を前提にしたクラウドだ」と説明する。つまり、「どのデータが」「どこのデータセンターの」「どのストレージに格納されているのか」までをトラッキングできるクラウドソリューションが標準として求められるというのだ。

photo
(クリックで拡大)

クラウドが動作する基盤の属性情報を収集し、統制できるような仕組みを可能にする


「例えば、米国IntelはCPUやチップセットなどにセキュリティ機能を組み込んだ『Intel TXT(Intel Trusted Execution Technology)』を開発している。これによって、チップレベルでのり基盤の属性情報のコントロールができる。将来的には、『Intel TXT搭載マシンを運用しているクラウドホスティング・サービス』が標準になる可能性がある」(國分氏)

【次ページ】日本版FedRAMP設立の検討をすべき

セキュリティ戦略 ジャンルのセミナー

一覧へ

セキュリティ戦略 ジャンルのトピックス

一覧へ

セキュリティ戦略 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング