世界に遅れる日本のサイバーセキュリティ 「安全神話」が障壁に

アンディ・マーティン=イラストレーション

米国主導で進む技術レベルのルール形成が日本のIoTビジネスの参入障壁となるリスクについて、多摩大学大学院教授・ルール形成戦略研究所所長の國分俊史が解説する。


昨今の日本ではIoTブームが沸き起こっているが、実はアメリカとEUではサイバーセキュリティに関する技術レベルでの国際規格作りが進んでおり、ルール形成が大詰めを迎えていることに日本の経営者の多くは気づいていない。

事実、この記事を読み始めたあなたは「NIST SP800-53」で指定された技術体系が国際標準となり、これに則ったシステム構築・運用に、自社だけでなくサプライヤーも対応できていなければ2018年5月10日以降、アメリカとEU市場から締め出される恐れがあるということをご存じだろうか?

NIST: National Institute of Standards and Technology(米国国立標準技術研究所)とは、米商務省配下にあり、米国で官民の窓口となってサイバーセキュリティ基準の策定を任されている組織だ。SP800を含むNIST文書は法的拘束力を持たないが、各連邦政府規制当局はこれを参照する形で調達基準を設定しており、米国市場はもちろん、グローバル市場において最低限のサイバーセキュリティのスタンダードになる可能性が高い。

EUでは既に国際標準となったサイバーセキュリティ技術の利用を義務付ける法律が2016年8月に施行された。アメリカも、国防総省と取引する企業に対し、2017年12月31日までにサプライヤーを含めたNIST対応を求める通達が出されており、国防総省の調達基準が順次他省にも広がっていくことが予想されている。

つまり、2018年以降はNIST主導で国際標準化されたサイバーセキュリティ技術体系へと、社内システムおよび自社のサプライヤーが対応していなければ、製品の輸出やIoTビジネスを行う際のデータ連携が許されなくなる可能性が極めて高い。他方日本ではITベンダーさえも十分に認識できていないところが多い。

こうした事態を受けて、ルール形成戦略研究所では16年9月5日に「サイバーセキュリティ国際標準化研究会」を大手企業19社と経産省、内閣官房、総務省、自民党IT戦略特命委員会で設立し、NISTとの協議の場を設けながらカウンター案の検討に着手した。10月にはNISTの上級IT政策顧問としてサイバーセキュリティの国際規格作りをリードしているアダム・セジェウィックを招へいし、米国でのルール形成の方針を講演いただいた。

そこで明らかになったのは、企業が利用するシステムは原則クラウド化させていくということだ。それも、アメリカ政府がクラウドの調達に際して基準として用いているFedRAMP(Federal Risk and Authorization Management Program)というセキュリティ認証を国際標準とし、この技術パッケージの利用を世界のルールにしていくという。
次ページ > 日本は「破られないようにする」ところで思考が止まっている

國分俊史=文

この記事は 「Forbes JAPAN No.32 2017年3月号(2017/01/25発売)」に掲載されています。 定期購読はこちら >>

ForbesBrandVoice

人気記事