日本HPは9月14日、「経営戦略としてのサイバーセキュリティ ~米国NIST標準のセキュリティフレームワークとその対応ソリューション~」と題したセミナーを開催した。本稿では、多摩大学 ルール形成戦略研究所 所長 國分 俊史氏による講演「世界で起きているサイバー空間におけるルール形成の最新動向と日本への影響」の内容をレポートする。

重要なのはハッキングされた”後”のシナリオ

「安全保障、経済政策起点でのルール形成が相当なスピードで進んでいると実感しています。貿易戦争はトランプ政権から始まったと思われがちですが、実際にはオバマ政権下で計画された経済制裁がいま実行されているという事情があります。今後はより長期的に実行されていくと見られます」

――國分氏は安全保障の世界で起こっていることについてそう講演を切り出した。現在は「経済制裁を戦略的に作り出して、戦争にならない程度の経済戦争行為を行いながらギリギリのところで経済成長を遂げていく」ことが常識になりつつあり、企業経営もそうした認識のなかで行う必要があるのだという。

多摩大学 ルール形成戦略研究所 所長 國分 俊史氏

サイバー空間におけるルール形成も同様に考える必要がある。サイバーセキュリティ基準のミニマムスタンダードとして挙げられるのが、NIST(米国立標準技術研究所)のフレームワークだ。「NIST Cybersecurity Framework(CSF)」と呼ばれるもので、セキュリティ管理手法の概念や管理方針/体制の整備についてのガイドラインとなっている。

また、実施すべきタスクと手順の特定/具体化については「NIST SP800シリーズ」などにまとめられている。國分氏によると、こうしたNIST文書は法的拘束力を持たないものの、各連邦規制当局はこれを参照するかたちで各連邦規制当局が調達基準を設定しているため、「結果的にグローバル市場における最低限のサイバースタンダードになる可能性が大きい」と指摘する。

例えば、近年はCTFでも脅威が侵入された後の「検知(Detect)」「対応(Respond)」「復旧(Recover)」が重視されるようになりつつある。だが、これまで日本企業は侵入前の「特定(Identify)」「防御(Protect)」に力を入れてきた。そのため、例えばIoT製品についても、今後、連携の面で課題になる可能性があるという。

「日本は『壊れない』という品質を強みにし、セキュリティについても『防御しているから安心』という開発を進めてきました。しかしハッキングされたとき、どういう動きをするか、どんなリブートをするのかといったシナリオをIoT機器が接続する相手に説明できなければ『製品として組みにくいね』となる可能性があります。今までは、ハードのすり合わせでしたが、これからはハッキングされた後のシナリオのすり合わせができないと、コネクテッドインダストリのなかでは非常に不利なポジションになってきます」(同氏)

ハッキングされたら製品を入れればいい、というIT製品のような発想ではなく、製品の設計段階から「海外にハッキング後の仕組みを説明できる」ような思想を備えていることが重要というわけだ。