DX実現に向けて、IoT/サプライチェーンのリスクを避ける技術開発と人材育成を――ジャパンセキュリティサミット2020 開幕  「Opening Dayシンポジウム(2)」

「ジャパンセキュリティサミット2020」が開幕した。これは、日本を代表する公的団体・学術研究機関・産業界の識者ネットワークの ”知“ を集結し、様々な角度からセキュリティについての議論を深めるイベントである。初日の9月1日は 「Opening Dayシンポジウム」として、各省庁・自治体、産業界、学術機関、識者・ジャーナリストの立場から、現在のサイバーセキュリティに関する脅威と対策、取り組みについて、情報が発信された。

Opening Dayシンポジウム当日の模様を、2回に分けてレポートする第2回目である。前半のレポートはこちらからご覧いただきたい。

基調講演(1)

情報セキュリティ大学院大学 学長 後藤厚宏氏

基調講演の最初に登壇したのは、情報セキュリティ大学院大学学長で、サイバーセキュリティ戦略本部内閣府SIPプログラムディレクタ(PD)を務める後藤厚宏氏。「ニューノーマル時代に求められるサイバーセキュリティ社会基盤と人材育成」と題して講演した。

後藤氏はまず、ニューノーマル時代においては「在宅基盤が社会経済活動の中核になって来た。そこにはIoTリスクとサプライチェーンリスクがある」と指摘した。その一方で、日本は世界競争力ランキングや電子政府ランキングで世界各国に遅れを取っている。そこでDX時代における価値創造を進める必要があるが、価値が創造されるとサイバー攻撃者はそこに狙いを定めてきて、経済的損失を及ぼす。「ある調査では、世界のサイバー犯罪による経済損失は6000億米ドルで世界のGDPの0.8%に上る。日本のGDPに換算すると、約3兆円の損失が出ている」(後藤氏)。

そうした中で、IoTリスクの1つとして、在宅勤務が社会系活動の中核になってきたことから、個人用のデバイスで重要インフラのオペレーションを実施するといったことによるリスクを挙げる。「IoTセキュリティにおけるベースラインアプローチの再検討が必要になるだろう」と後藤氏。ベースラインアプローチとは、どんな機器でも最低限守らないといけないラインを示す物。従来は重要インフラ用のデバイスが最も厳しい規定で、産業用、さらに個人用となるに従って甘い規定でも許されていた。ところが、今後は個人用だといって甘い規定では許されなくなる。「デバイス自信のセキュリティの考え方の変化が重要なポイントになる」と後藤氏は語る。

もう1つのサプライチェーンリスクは、従来からの課題であり、新型コロナ時代になって「寸断リスク」が加わったと説明する。秘密の漏洩や不正なハードウエア、ソフトウエアの混入に加えて、経済活動停止のリスク、すなわち寸断リスクへの対応が求められるようになった。その対策のポイントとして後藤氏は「セキュアなサプライチェーンをいかに普及させるかであり、そのためには“トラスト”(信頼)のチェーンをサプライチェーンに構築、維持する必要がある」と説く。

このように、重要インフラを守り、ソサイエティ5.0が作り出す価値創造を守るためには、「サイバーセキュリティの自給」が不可欠になると後藤氏は語る。「何でもかんでも国外に依存するのではなく、技術だけでなくて、運用や人材も自給が必要だ。さらにサイバーセキュリティ研究開発においてはデータの蓄積がないことによる“データ負けのスパイラル”からの脱却も求められる。人材もデータの蓄積も自給できるようにする体制が求められる」と語った。

基調講演(2)

NEC 取締役会長遠藤信博氏

「私は企業家なので、価値創造の場としての観点からサイバーセキュリティを見てみたい」。こう語るのは次いで基調講演に登壇したNEC会長の遠藤信博氏。「価値創造の場 ボーダーレス・サイバー空間の確保こそ国力!」と題して講演した。

遠藤氏は「人間社会と企業は表裏一体なもの。人間社会では、社会の持続性が最も必要であり、企業経済でも企業の継続が大事だ。人間社会の継続性に貢献するには、人間社会の本質をどれだけ理解するか、すなわち「真の欲求」を知ることが必要になる。真の欲求に合致するものだけがニーズとして残る。真の欲求に近いソリューションを提供したものだけが生き残れる」と提示する。

そうした中で、ICTによる価値創造に目を向けると、「1995年はデジタル携帯電話が広まった年で、今のICT環境の基礎が作られた年。それから25年で、世界トップのコンピューティングパワーは245万倍、モバイルネットワークは100万倍のキャパシティを得た。ソフトウエア面でも大量データを処理する価値を得られるようになった。これにより、情報社会からデータ社会へと変化が進んでいる」と遠藤氏は語る。情報社会は、類似性のあるデータを集めて演繹的に知識を作るもので、部分最適な答を得るもの。一方で、データ社会では広範なデータを集めてAI(人口知能)で判断する。帰納的であり、全体最適な答を作り得るという。

「全体最適で作り得る価値としては、コンセンサスが得られれば高い価値が得られるが、得られないと価値は低いものになる。それだけに高い価値を作れる可能性を持つための意識やコンセンサスをどう作り上げるかが課題であり、国にとってもコンセンサスを得ることは重要なプロセスになる」(遠藤氏)。全体最適に向かうには、バリューチェーンで価値を創り上げることが必要になるが、バリューチェーン全体のICT価値は一番低いところに揃ってしまうと遠藤氏は指摘する。「セキュリティは特にそうで、一番セキュリティレベルの低いところがアタックされる」。

そのための対策として遠藤氏は、「サイバーセキュリティを守るには、コレクティブディフェンス、集団防衛が必要。個々では守れない。個々が力を合わせてディフェンスすることが必要だ。コレクティブディフェンスのネットワークを作るには、お互いの信頼関係が必要になる。今回のサミット(ジャパンセキュリティサミット2020)も参加さの理解を共有してトラストを作り上げるものだろう。今後、ボーダーレス・サイバー空間の重要性は国力の視点からもさらに増していく。その中で、“相互信頼の構築”によりボーダーレス・サイバー空間を守っていこう」と語った。

特別講演(1)

国立情報学研究所客員教授 前経済産業省サイバーセキュリティ 情報化審議官/内閣サイバーセキュリティセンター内閣議官 三角育生氏

特別講演には、内閣サイバーセキュリティセンターなど行政側からサイバーセキュリティに関わってきた三角育生氏が登壇し、「DXとサイバーセキュリティ」と題して講演を行った。

コロナ禍においてはリモートワークが強制的に実施されるようになったが、事業継続のために急遽リモートワークを導入したような企業では、サイバー攻撃や情報流出のリスクが高い。それだけに、コロナ禍の収束とともにだんだんと職場に戻っていく企業とリモートワークを続ける企業の2極化が進むと見ている。「問題は、リモートワークはDXではないこと。DXは業務やビジネスプロセスのイノベーションを起こすこと。ICTやデジタルをどう使って新しい価値を作るか、戦略的に考えないといけない」(三角氏)。

行政の経験から、限られた時間にきちんと審査などの業務をするために、業務の見直しをした事例を紹介した。「ルールを見直して22本の通達を3本にまとめて、エビデンスを整理して、システム化した。システム化するのは属人的にならずに正しく審査できるようにするため。これは行政におけるDXの1つだった」(三角氏)。

自分のミッションを達成するためにICTを使うとき、業務途絶、情報流出が起こらないようにすることも求められる。何をしたいのかを明確にした上で、セキュリティの優先付けが必要になる。三角氏は、「セキュリティはコスト負担ではなくて、投資対象と考えるべきだろう。業務の高度化、新しいビジネスを行うためのイネイブラーとしてセキュリティを考えるのが、DX時代のセキュリティの考え方だ」と指摘。その上で、セキュリティ技術だけでなく、会社のマネジメント、社会のこともわかる人材を育成することの必要性を説いた。

特別講演(2)

ジャーナリスト 須田慎一郎氏

Opening Dayシンポジウムの最後は、ジャーナリストの須田慎一郎氏が登壇した。須田氏は「この1,2年、サイバーセキュリティについて積極的に取材してきた。そこでは“国民目線に立ったサイバーセキュリティの強化”が最も大切なことだとわかった」と語る。

その1つの例として須田氏は、中国バイトダンスが提供するショートムービープラットフォームアプリ「TikTok」の米国事業の売却の話題を取り上げた。「このニュースで、にわかに日本でもTikTokのサイバーセキュリティに対する興味関心が高まってきたのではないか」(須田氏)。その上で自身の体験談から、「関西のテレビ局の番組で、サイバーセキュリティの話題の議論をした。TikTokのリスクについても話題にした。ところがその番組にはTikTokのCMがスポットで流れた。意図的ではないかもしれないが、広告主の批判はしにくいため、こうした広告を打つことは批判的な言論を封じるために効果的だったのではないか」と指摘する。

そうした体験を通じて、「サイバーセキュリティに対する知見、知識を高める合意形成をどうするか、安全保障に個別の問題が生じてきたときにどうするか、具体的なイメージを持つ必要があるだろう。IoT時代には、ユーザーである1人ひとりの国民が意識を持ち、リスクに対する敏感な意識を持つことが求められる。専門的なところが一括してリスク管理をするのでは、感応度が低くなってしまうんだろうな」と須田氏は語る。

最後に須田氏は、「IoTの時代が近づいている。10代などは、ほとんど地上波は見ない。5Gのモンスターマシンを皆が手にするような時代、サイバーセキュリティ意識を高めていかないと、個人情報や生体情報がハッキングされるリスクが高まる。サイバーセキュリティの意識を高めるための情報発信の仕方について、国も民間も戦略的に取り組んでいってほしい」と訴えた。