本記事では、MPOWER Digital 2020(2020年11月19日~20日開催)にてご講演いただいた、多摩大学 ルール形成戦略研究所 首席研究員 西尾素己氏に、後日伺ったお話の内容をお伝えします。MPOWERの際には、「来るゼロトラスト国際秩序」と題し、10年以上前に本格始動した米国の安全保障経済政策が、米中経済戦争へと昇華し、COVID-19出現によりさらに各国の国境が濃く、太くなった状況について、中でも目玉とされるサイバーセキュリティ関連の国際動向と、昨今注目されるゼロトラストの考え方の真意について、グローバル展開している企業は無論、直接支社を持たない国内企業にも影響が大きく及ぶ状況であること等をお話いただきました。
ご講演の中で、米国、欧州、中国の状況をお話されていましたが、各国それぞれ、自国に有利なルール形成をすることで、対抗措置を取っていることがわかり、興味深い点が多々ありました。西尾さんが現在、特に注目している展開があれば教えていただけますでしょうか。
米中経済戦争の激化を顕著に表す展開となっているのが、輸出管理法とそれぞれの情報管理体制に関する規則の乱立に注目しています。米中ともに自国の技術情報を持ち出すことを強く規制していますが、もはや経済原理を超えて、安全保障を背景に国力の維持を目的とした展開となっています。
その中でもサイバーセキュリティは特に取り上げられているテーマであり、それは言わずもがな、現代の情報管理方法がITシステムによるものだからだと言えます。NDAA 2019では5社の中国企業が名指しでエンティティリストに追加され、対抗するように中国でも352指令や安可目録による中国国内で使用されるIT機器の国産比率を上昇させる政策に踏み切りました。この背景には5Gネットワークを実現する多くの要素技術の特許を中国が保有しており、かつ安価に提供されるということに、サイバーセキュリティ上の危機感が芽生えたことにあります。
このような輸出管理法の応酬よりも以前から、情報管理に対して善管注意義務違反を明確に定義する動きがあり、もはや我が国でも有名と言ってよいControlled Unclassified Information(CUI)という情報区分定義と、その保護施策であるNIST SP800-171が制定されました。前述の技術情報やそれに関連する情報は民間保有情報も含めて広くCUIと定義されており、フローダウンの原則に基づき、ティアNのサプライチェーンにまで規制は及びます。米国政府プロジェクトに間接的にでも、さらには無意識にでも関わっている日本企業は、ある日突然「米国の安全保障を脅かした」と言われる可能性があります。
ついては、CUIという情報区分の存在とその保護施策に加えて、米中経済戦争における輸出管理法の対象となる技術情報がいかなるものかを把握し、戦略的経営を実施する必要があります。
出典:MPOWER Digital 西尾氏 講演資料より
直接ではなくても、間接的であれば対象企業の範囲が拡大しますし、認識していないが実際は、という”無意識に”ということも今後あり得るでしょう。自社は関係ないと思わずに対象となる技術情報に相当しないかを把握することは確かに重要です。
さらにお伺いしたい点として、人口減少・高齢化などの課題を抱える日本において、企業が生き残っていくためには、海外で、何等かの形で取引を行うことはさらに必要になり、それは大企業に限ったことではなく、中小企業の場合でも同様、サプライチェーンの一部となって海外でのビジネス機会を掴んでいくことが考えられると思います。グローバルスタンダードに準拠したレベルのサイバーセキュリティ体制や対策が必要になると考えられますが、そんな中で日本企業はどのような点に注意して対策を取っていくべきでしょうか。コロナ禍で製造拠点の課題などもありますので、短期的、長期的それぞれの留意点、対策を急ぐべき点等あれば、お願いします。
前述の通り、輸出管理法に関する注意は特に頻繁に行うべきでしょう。それに加えて、一言に「グローバル」と言っても、大きく米中に分断された経済圏に我が国の企業は嫌でも直面することになるでしょう。米中の規制は、それぞれから見て外国に情報が渡ることを良しとしていません。地政学的な性質上、米中双方を主要なマーケットとしてきた我が国を含む諸外国は、双方の規制への対応が求められるいわば板挟み状態となるでしょう。
このような状況から、特にサイバーセキュリティというキーワードで必要になる対策は、「米中ディカップリング」です。米国の技術情報を扱うシステムと中国のシステムを分断し、情報の流れを特定するとともにより細やかなアクセスコントロールが求められるでしょう。そしてこれはNISTのフレームワークに顕著に表れているものですが、「誰が犯人なのか」という個人の特定も今後は必要になります。安全保障を脅かす結果に結びついたインシデントにおいて、内部犯行だとすれば犯人特定の義務が生じ、外部犯行だとすれば、安全対策の責任者は誰なのかという明確な責任の所在地についての説明が必要となります。このような米中経済戦争は20年続くと言われています。
このような現状から、Chief Information Security Officer(CISO)に今後求められるスキルセットも大きく変化することが予想されます。定期監査対応やセキュリティインシデントへの部分的な対応指揮、情報の棚卸やラベリングなどの業務遂行能力に加えて、より経営と密接に関連した戦略的アプローチにより、社のリスクに責任を持つロールとなるでしょう。
それぞれの国の技術情報の管理を明確にし、何かもし起きた場合に特定できるような可視化が重要であることがわかります。CISOに求められるスキルセットの変化については、いただいたように責任範囲が重く広くなることを考えると言わずもがなですが、より経営に近い立場になるという点では、欧米並みにポジションが高まるとも考えられます。
さて、少し講演以外の点についてもお伺いしたいのですが、2020年は大企業のデータ侵害、情報漏洩事故の発表が国内、海外でも続きました。名だたる大企業に対する攻撃は標的型である可能性が高いとは思いますが、SolarWindsの件のような国家も巻き込むようなサプライチェーン攻撃も実際に起きています。これだけ多くの企業が影響を受けるようになると、セキュリティ対策はコストだという感覚が未だ残る日本でも、主体的に考えるきっかけになるのではないか、と思われます。対策が未だ十分ではないが必要だと考える企業が、優先的に取り組むべき点やアドバイスなどあればお願いします。
我が国は情報漏洩を起こした企業に対して明確に善管注意義務違反を問うような仕組みが存在しないため、対策をコストだと考える経営層がいることは経済原理として当然だと思いますし、検知できてないだけのことを「弊社はしっかりと対策できている」と言い換えるのも、専門的な知識がない経営層にとっては致し方ないことだというのが率直な意見です。ついては、各企業の意識改革以前に我が国の法整備が急がれると考えています。多摩大学ルール形成戦略研究所ではこのような問題提起を5年前から継続して日本政府に対して実施しており、一定の領域では世界のレベルに追い付いてきたと実感しています。企業側の立場に立ってはっきり言い切ってしまえば、罰則も報酬もないのにとにかく「セキュリティ対策は大事だ」と政府に叫ばれても「じゃああなたたちのITシステムは堅牢なんですか」と問いたくなるだけだと思います。
では民間企業は法整備が整うのをただ待てばよいのか。それは違います。なぜなら各企業が意識しなければならない政府は何も日本政府のみではないからです。超ドメスティックな日本企業で、取引先や下請け含めてサプライチェーンをいくら遡っても日本国内で経済圏が集約されるビジネスであれば別ですが。。。前述の通り、現代の世界の規制は、情報の所有権と影響範囲を元にサプライチェーンを梃子にした越境を行っています。その点を加味したグローバル経営が求められるでしょう。また、この手の規制内容はプライム企業が手取り足取り言ってくれるわけではありませんので自ら情報を取り、戦略的判断を個社が実施する必要があります。
コストと考えても致し方ない状況を変えていくために、まずは法整備が必要というのは確かにそうですね。ルール形成戦略研究所ではそういった課題に対して問題提起を実施されているのですね。また、ただそれを待つだけではビジネスが成り立たなくなる可能性があるという点も重要です。グローバル経営の視点を持ち、自社の経営戦略の中でサイバーセキュリティ対策をどのように位置づけ実施していくか、ニューノーマル時代に合わせ、考えていく必要がありそうです。
最後に、これからは世界的な懸念を網羅する自主ルールを定め、遵守していることを客観的に証明する必要がある、とご講演の中で結ばれていましたが、具体的にはやはり、NISTやISOのcertifiedというのは有効と考え取り組むべきでしょうか。
基本的には各国、各情報区分に対する善管注意義務違反を、どの基準への準拠をもって証明するかということになります。米国のCUIであればNIST SP800-171であり、クラウド基準であればFedRAMPやISO27017などが該当します。政府や企業からの訴訟や株主代表訴訟、さらには社内での責任追及の際に、自らを守るに値する対策を実施しておく必要があります。ISOなど認証機関が存在するものは分かりやすいですが、対象企業が爆発的に多い規制については自己宣言型の基準が適応されることが多いです。ただし、自己宣言だからと言って適当なことをしていては、いざというときに何の効力もなく過失責任が認定されることになるでしょう。
#####
MPOWER Digital 2020にご登録済の方は、引き続き全てのセッションをご覧いただけます。ぜひご視聴ください。
※2021年1月に伺った内容を元にしています。
編集:マカフィー株式会社 マーケティング本部