デジタルアーツは先月、米子会社のFinalCodeの取締役に、元米大統領サイバーセキュリティ特別補佐官のHoward A. Schmidt(ハワード・A.シュミット)氏を招聘したことを発表したが、同社はこれを記念して6月6日、シュミット氏の講演を東京都内のホテルで開催した。
シュミットは、2001年から2003年のブッシュ政権において、大統領の重要インフラ防護委員会議長兼サイバースペース・セキュリティ担当特別顧問、国土安全保障省国家サイバーセキュリティ部門(NCSD)US-CERTパートナープログラム・セキュリティ戦略統括責任者を務め、2009年から2012年のオバマ政権でサイバーセキュリティ調整官を務めたほか、マイクロソフトやeBayを始めとした大手IT企業でセキュリティ対策の責任者を歴任した。
現在では、Ridge-Schmidt Cyber, LLCの共同パートナーとして、各国政府やグローバル企業の経営陣を中心としたアドバイス・コンサルティングを行っている。
FinalCodeは、北米における売上をあげ、販売体制を構築する目的で、デジタルアーツの100%子会社として2014年4月に設立された。シュミット氏の招聘は、同名のファイル暗号化・追跡ソリューション『FinalCode』を北米市場で早期に拡販し、導入実績をあげることを目的としたもので、シュミットは、FinalCodeの北米における事業展開に関し、セキュリティ業界における人脈と経験を活かし、ファイルセキュリティが必要とされる大企業を中心に『FinalCode』の導入促進を支援するとともに、北米での販売戦略の策定を担う。また、デジタルアーツの海外戦略におけるアドバイザーとして、事業拡大を支援する。
講演の冒頭で挨拶したデジタルアーツ 代表取締役社長 道具登志夫氏は、「これまで日本のビジネスソフトで世界で通用するものはなかったが、『FinalCode』は世界で通用するレベルに仕上がっている」と自信を見せた。
シュミット氏は講演の中で、今日、われわれがさまざまなサイバー攻撃の脅威にされされるようになった理由として3つを挙げ、次のように説明した。
「ネットワークセキュリティが、なぜいまのような状況になったのかといえば、1つは信用する能力の問題だ。World Wide Web(WWW)が登場した頃は、ユーザーが3万5,000人くらいしかいなかったので、利用者同士は信頼し合っており、誰かが攻撃するなどということは考えもしなかった。2つ目はソフトウェアの開発方法で、企業はいち早く新しい機能、新しい性能を持った製品を市場に出したいと考えているため、より高いセキュリティコードでソフトを書くということは、最近まで意識されてこなかった。そして3つ目は、情報をどこに置くのか、どのように持つのか、情報によって何をするのかについての考慮が不足しているためだ」
そして、「現在ある脅威はどこから来ているのが、何が動機なのかといったことに話題が集中しがちだが、脅威を心配するのではなく、どう対処するかを考えるべきだ」と忠告した。
また同氏は、これまであまり意識されて来なかった2つの新たな脅威についても説明した。
「脅威としては、政府の政策、企業の海外事業展開に対して抗議を行うというものもある。こういったものは、抗議が目的で犯罪を意図していないため対応が難しい。ただ、ある意味では不法でもある。一方で、表現や情報へのアクセスの自由はあり、自由に意見をもってもいい権利もあるため、これらを覆すことが難しい。良い例がアラブの春に代表する行動の自由だ。彼らは、正当な権利があると思ってやっている。なかには個人の命が奪われることや、企業が事業を停止されることもあるが、理由が正当なものだけに対応が難しい」
「また、政府が自国民の情報、海外の人民の情報を収集することも新しい脅威として認識されており、われわれはこれらに対する準備は、まだできていない。企業は、情報保護を考える際には、犯罪グループやテロリストから情報を守るということだけではなく、海外の政府からも情報を守らなければならない」と警告した。
また同氏によれば、政府については、さらに注意すべきポイントもあるという。
「政府はざまざまな規制によって、企業の行動を阻害してしまうこともある。暗号化を許可している政府もあれば、許可していない政府もある。規制に関しても、緩い政府と厳しい政府がある。それが事業のやり方に影響を与える。政府にはいろいろな委員会があり、それぞれがサイバーセキュリティの主導権をとろうとしている。日本企業がグローバル展開を図ろうとすれば、50-60の法規制に対応していかなればならない」と指摘した。
しかし、企業の悪い点は、何か問題が起きない限り、セキュリティの脅威に対処しようとしないことだという。
同氏は、「問題が起きてから対処したのでは遅すぎる。知的財産が盗まれてしまってからでは、もう何もできない、R&Dへの投資も無駄になってしまう。こういったことに対応していかなければ、いくらいい技術をもっていても、成功を収めることはできない。そのため、サイバーセキュリティ対策をビジネスのコアプロセスと位置づけ、コストセンターと位置づけてはならない」と述べた。
では、企業はこれらに対してどう対応すればいいのか? これについてシュミット氏は、「対策としては、Digital Rights Management(DRM)、Information Rights Management (IRM) に尽きる。どんな情報であろうと、われわれはきんと所有しなければならない。権利をたやすく手渡してはならない。デジタルアーツやFinalCodeがその術を提供しようとしている」と語った。