経済産業省サイバーセキュリティ・情報化審議官
内閣官房内閣サイバーセキュリティセンター
内閣官房情報通信技術(IT)
総合戦略室長代理(副政府CIO)
内閣審議官
1987年通商産業省(現経済産業省)入省。2007年経済産業省 商務情報政策局 情報セキュリティ政策室長、2009年経済産業省 貿易経済協力局 貿易管理部安全保障貿易審査課長などを経て、2018年8月より現職。
PwC Japanグループ マネージングパートナー
PwCコンサルティング合同会社
代表執行役会長
JCIC(一般社団法人 日本サイバーセキュリティ・イノベーション委員会)理事
1985年大手監査法人に入所、さまざまな業種の監査業務に携わる。1995年会計事務所系コンサルティング部門に移籍。米国駐在を経て幅広いコンサルティング業務に従事。2016年にPwC Japanグループ マネージングパートナー就任。
鹿島
近年の大きなキーワードとして、「Society 5.0」※が挙げられていますね。その実現に向けた過程に立ちはだかるサイバーセキュリティ上の脅威として、どのようなものが考えられるでしょうか。
三角
そもそもSociety 5.0というのは、狩猟社会、農耕社会、工業社会、情報社会に続く新しい社会の形─つまり情報社会から次のフェーズへと移行して“ポスト情報社会”となったときに大変革が起きるという未来予測が根底にあると考えています。コンピュータの歴史を振り返っても、単に単独で存在してプログラムを処理するだけの時代があり、その後にネットワーク化されて情報社会がつくり上げられたわけです。ではその次にどのような変化が起きるのかと言えば、最も影響が大きいのがIoT(Internet of Things)の進展であると見ています。IoTは既に指数関数的な勢いで広がっていますが、そうなると従来はバラバラに設置されたアナログな存在だったモノが、データ化・ネットワーク化されてつながり、IoTによってやがて自動化されていくのです。このように、全ての人とモノがネットワークされて多様な知識や情報が共有されることで、今までにない新たな価値が生み出されていくことでしょう。
鹿島
それこそが、サイバー空間とフィジカル空間が一体化してくるというSociety 5.0の本質であるわけですね。
三角
ええ。ただし、ここでサイバーセキュリティの話になるのですが、Society 5.0の時代になると人もモノも全てがつながるため、最も弱いところが攻撃者から狙われることになります。攻撃側からしても、テクノロジーの発展は攻撃の機会の増加を招くわけです。それともう一つ、データが本当に信用できるのかという点も大きな問題となるでしょう。既に多種多様なデータ形式がバラバラに存在していて玉石混交の状態なので、どこかで正規化する作業が必要です。しかし、その作業内容が信用できるのか、データを処理するAIが信用できるのかなどといった今まではあまり考慮しなかったような問題が生まれ、それが脅威となってくると考えられます。
もっとも、これは暗い側面だけの話ではありません。要はテクノロジーがとにかく進展して全く新しい社会となるわけなので、その飛躍をうまく活用すれば企業は大きな成長のチャンスをつかめるはずなのですから。ぜひ多くの日本企業にこの機を捉えてほしいと願っています。もちろん、激しい時代の変化には新たなリスクも伴いますので、そうした不確定な要素が良い方向にも悪い方向にもこれから大きくなっていくような時代に入るのだとまずは認識することが鍵ではないでしょうか。
※内閣府が提唱している、サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより経済発展と社会的課題の解決を両立する、人間中心の新たな社会の形。
鹿島
お話を伺って強く感じたのが、攻撃者のリスクはもちろんですが、データそのものであったり、データを加工・処理する人やプロセスなども含めて信頼を確保する仕組みが求められてくる─これは現状のサイバーセキュリティとはまた少し別の観点からのアプローチも必要になってくるのではないかということです。
三角
私も全く同じように考えていて、サイバーセキュリティの定義そのものが変わるのではないかと見ています。今はサイバーセキュリティの観点から、情報システムの機密性、完全性、可用性の議論がなされていますが、これはISOなどの認証制度の考え方とも合致しています。もしも信頼性が損なわれて社会的混乱が起きてしまったときに、セキュリティの問題として捉えるのか、信用失墜の問題として捉えるのか、入り組んでいて分からなくなってきていると言えるでしょう。この点については、今後の社会的な受容と認識によって変化してくる課題ではないでしょうか。
鹿島
PwCは財務諸表の監査も行っているので、ある意味で数字を作るプロセスに対して信用を提供しているのだと言えます。そのことについてグローバルでさまざまな議論を繰り広げていると、まさにいま言われたような点─例えばデータを扱うプロセスで間違いが起きないように保証する必要性などが重要課題として挙げられます。
三角
おっしゃるとおり、現実空間にある社会というのは、契約、法律、監査によって保証されています。一方でサイバー空間の場合はと言えば、従来は機密性、完全性、可用性で保証されることになるので、一般的なセキュリティ対策を行えばいいということでした。しかし、今後はそうした話とは少し様相が異なってきて、そもそも“それ”が正常な状態であるかという信用の話もサイバーセキュリティの範疇に入ってくるわけです。例えば電子商取引で認証が行われたとしたら、それが正しいプロセスによる認証であったかどうかもセキュリティマターとなるでしょう。つまり、信頼性、可用性、安全性、完全性が保たれているかどうかに関して、サイバーかフィジカルかではなく全体で見ていくことが必要となってくるわけです。
鹿島
いかに社会全体で信頼性を誰が保証するか、そこがポイントになってきそうですね。
三角
まさにそう思います。
鹿島
2018年7月に新たな「サイバーセキュリティ戦略」が閣議決定されましたが、その内容を踏まえて企業に期待するのはどのようなことでしょうか。
三角
端的に言うと、コーポレートミッションの中でセキュリティも考えるということです。自社のミッションがどこにあり、情報システムやICTは自社のコアコンピタンスにどのように関わってきて、それがステークホルダーにどういった影響をもたらすのか─まずはここからアプローチすべきでしょう。でなければ、セキュリティの確保そのものが目的となってしまいます。
鹿島
どの水準までセキュリティ対策をすればいいのか、日本の企業社会の間でレベルセットがきちんとできていないようにも感じます。
三角
そのとおりです。やはりまずは組織としてのコアコンピタンスであり、価値がどこにあるのかを決めておかないと答えは出ないでしょう。方法論としてはISMS(情報セキュリティマネジメントシステム)などがありますが、どこまでやるかは企業ごとに異なり横並びなどあり得ないはずです。リスクを100%払拭することなど不可能ですから、その時点で守るべきところと、予測可能な脅威とのバランスを取っていくことが重要です。
鹿島
ビジネス戦略とも密接に関係してくるように思えますね。
三角
本来はそうあるべきなのですが、そこまでになると少々時間を要してしまうので、まずは経営層の意識改革が求められてくると思います。そのため経済産業省が示している「サイバーセキュリティ経営ガイドライン」では、セキュリティ対策において経営層が責任を持ってリーダーシップを発揮すべきとしています。
さらに経営者の意識について言えば、サイバーセキュリティはどうしてもネガティブなベクトルで考えてコスト負担だとばかり捉えがちですが、本来はプラスとマイナスの両面から考えるものだと認識を改めるべきではないでしょうか。技術戦略があってICTを活用していくとなれば、ICTというのはまさに利益を生み出す道具です。例えば経営者が運転手だとすれば、車を速く安全に動かす─つまり利益を生み出すには、アクセルとブレーキを上手に使いこなす必要があるはずです。にもかかわらず、ブレーキもしくはセキュリティだけを切り出してコストを考えてしまったのでは、マイナスしか見えてこないでしょう。つまり、セキュリティもまたコストではなく投資だと捉えられるよう、経営層には意識変革が必要だと考えます。
鹿島
セキュリティも含めて、ICTを活用して企業に利益を生み出すことが大事であるという意識をまずは経営層が持ち、そうしたカルチャーが企業内で培われていくことが日本企業にも必要ですね。日本は、お客様の品質に対する要求が世界一厳しいと言われています。製品・サービスのセキュリティの品質を担保することも要求されており、それに対する答えを出していこうという意識も強いです。その点を、日本は強みとして生かしていくこともできるでしょう。ありがとうございました。