NISTIR 7904という公開文書にも記載されているが、アメリカでは、これからのクラウドはジオロケーションテクノロジーという概念に基づき、自社のデータがどこのサーバの、どのCPUおよびディスクで処理されているのかを常にリアルタイムでトラッキングできることを要件にするとしている。
つまり、社内システムのクラウドはもちろん、そのクラウドはデータの所在が分かるデータセンターで運用されるものでなければならない。日本のITベンダーが提供しているクラウドは、これに未対応だ。
これ以外にも日本にとって衝撃的なのがIoT製品に組み込むセキュリティ技術の国際標準作りだ。セジェウィックいわく日本のセキュリティに対する考え方は、「破られないようにする」ところで思考が止まっている。
これからの技術体系は「1. 特定、2. 防御、3. 検知、4. 対応、5. 復旧」という5つの機能が盛り込まれていることを必須にすべきであり、この体系に照らして機能に漏れがあった場合はセキュリティの標準を満たさない。日本の製品は3. 以降が安全神話によって検討されていない。
他方、アメリカやヨーロッパではウィルス感染や乗っ取りを前提に設計し、そうした事態をいかに早く発見して影響範囲を最小化して問題を解決し、迅速に復旧を果たせるかを基本設計思想にしている。日本の自動運転、発電設備、医療機器、家電、警備システム等での対応は、残念ながらこれからである。
IoTのようなビジネスのパラダイムシフトが起こる背景には、必ずルール形成戦略が存在していることは世界の常識だが、今回も日本は技術偏重でIoTブームに突入し、真の戦略思考が欠落したままだ。最後に、ここで紹介したNISTのルール形成はほんの一部である。手遅れにならないよう、筆者も政策立案支援で最善を尽くしたい。
國分俊史◎多摩大学大学院教授/ルール形成戦略研究所所長。デロイトトーマツコンサルティング執行役員。パシフィックフォーラム 戦略国際問題研究所(CSIS)シニアフェロー。安全保障経済政策のアドバイザーとして政府の委員等も歴任。
