セキュリティへの戦略投資がSociety 5.0で成功をつかむ鍵に

Society 5.0(ソサエテイ 5.0)は日本の新たな原動力になるのか――。IoTやロボット、AIなど新たな技術を取り入れ、社会課題を解決する社会。その実現に向けて、内閣府は、「第5期科学技術基本計画」(平成28年1月)で初めてSociety 5.0を提唱。官民一体となった挑戦が続いている。Society 5.0実現に向けて、叫ばれているのが「セキュリティへの積極投資」の必要性だ。企業が「テクノロジー×IT」で将来の利益拡大のためにいかに投資をすべきか。本記事では、官民の有識者が一堂に集い、「セキュリティ対策の今」が大いに語られた「Microsoft Security Forum 2018」(2018年2月6日東京開催)の模様をレポートする。

■タイトル■

Society 5.0(ソサエテイ 5.0)は日本の新たな原動力になるのか――。IoTやロボット、AIなど新たな技術を取り入れ、社会課題を解決する社会。その実現に向けて、内閣府は、「第5期科学技術基本計画」(平成28年1月)で初めてSociety 5.0を提唱。官民一体となった挑戦が続いている。Society 5.0実現に向けて、叫ばれているのが「セキュリティへの積極投資」の必要性だ。企業が「テクノロジー×IT」で将来の利益拡大のためにいかに投資をすべきか。本記事では、官民の有識者が一堂に集い、「セキュリティ対策の今」が大いに語られた「Microsoft Security Forum 2018」(2018年2月6日東京開催)の模様をレポートする。

「Society 5.0」とは、日本政府が科学技術政策の中で打ち出したキーワード。狩猟社会(Society 1.0)、農耕社会(同2.0)、工業社会(同3.0)、情報社会(同4.0)に続く新たな社会を指すもので、2018年1月に閣議決定された第5期科学技術基本計画において未来社会の姿として提唱された。内閣府では、Society 5.0を「サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)」と説明している。

Society 5.0で実現する社会は、IoTで全ての人とモノがつながり、
さまざまな知識や情報が共有され、今までにない新たな価値を生み出すことで、社会課題を解決する。

2020年に東京で10億回?増え続けるサイバー攻撃の脅威

「Society 5.0を支える、サイバーセキュリティ対策」と題された基調講演1には、内閣サイバーセキュリティセンター(NISC)の山内智生氏が登壇。2018年1月17日に開催された「サイバーセキュリティ戦略本部第16回会合」で議論されたトピックを紹介した。

この会合における最も大きなトピックは、「次期サイバーセキュリティ戦略の検討に当たっての基本的な考え方」を決定したことだ。現行のサイバーセキュリティ戦略(2015年9月に閣議決定)では「今後3年間(2015年~2018年)に執るべき諸施策の目標や実施方針を示す」としており、次期のサイバーセキュリティ戦略の策定に向けた検討が必要になっていた。そこで、今回の会合において次期戦略の基本的な考え方が決められた。山内氏によると、2018年の6月から7月頃に具体的な戦略を策定する計画だという。

1月17日に公表された「次期サイバーセキュリティ戦略の検討に当たっての基本的な考え方」という文書では、次期戦略では(1)サイバー空間の将来像と新たな脅威の予測、(2)2020年東京オリンピック・パラリンピック競技大会とその後を見据えた体制等の整備、(3)次期戦略において新たに取り組むべき課題の明確化と対策の速やかな実施――という3つの事項を十分に踏まえることが重要だとしている。

山内氏は「オリンピックが開催されるとサイバー攻撃が激化します」と警鐘を鳴らす。2012年のロンドン大会の開催時には、正常ではない通信が約2億回もあったという。「2020年の東京では10億回に達するという予測もあります」(山内氏)と指摘する。

サイバー攻撃が激増する背景には、IoT(モノのインターネット)の急速な進展がある。インターネットにつながれる機器にはOS(基本ソフト)が搭載されており、その大半が遠隔操作を可能にするプロトコル「Telnet」を備えている。攻撃者は、そうした機器を探し出すとTelnetを使ってログインすることを試みる。デフォルトのIDとパスワードのままの機器も少なくなく、そうしたものは簡単に乗っ取られてしまう。攻撃者は、ここを踏み台にして社会インフラや企業の基幹システムなど、経済的な価値が高いシステムを攻撃するのである。

山内氏は「サイバーセキュリティは全員参加が必須です。公的機関だけでなく、民間の企業や一般の消費者も、サイバー攻撃に対する意識を高めなければリスクを軽減することはできません」と強調して講演を締めくくった。

AIと機械学習を駆使した最先端の攻撃予測の今

山内氏の講演に続き、日本マイクロソフトでチーフセキュリティオフィサーを務める河野省二氏が登壇。「デジタルトランスフォーメーションを支える、クラウド&セキュリティ」と題して、マイクロソフトの取り組みを解説した。

セキュリティに対する同社の取り組みを支えているのが、クラウドに蓄積されるビッグデータだ。現在、同社は200を超えるクラウドサービスを展開しており、10億人以上の顧客、2,000 万社以上の企業顧客、90 以上の市場にサービスを提供している。同社のクラウド上には、1カ月に4500億件のユーザー認証情報や、10億台超のWindowsの情報、4000億通のメール分析情報、18億以上のウェブページスキャンが集約されているという。

マイクロソフトでは、AI(人工知能)と機械学習を駆使して、これらのビッグデータを分析することによって、次の攻撃を予測したり、対策を立てたりしている。セキュリティに関する研究・開発費として年間に1100億円以上も投じているという。河野氏は「新たな知見を継続的に製品・サービスにフィードバックしています」と強調する。

こうした取り組みの象徴が「インテリジェント セキュリティ グラフ」である。これは変化しつづける世界規模のサイバー攻撃を一元的に管理したものだ。マイクロソフトの製品・サービスを通じて継続的に得られるデータ(シグナル)とサードパーティから得られる情報を集約し、プロアクティブなセキュリティ対策につなげている。

河野氏は「サイバー攻撃は愉快犯から経済犯へ、さらに最近では国家レベルのテロへと変質しています。戦争やテロと同様に、一般の市民を保護するような枠組みが必要になるでしょう。マイクロソフトは『デジタルジュネーブ条約』が必要だと訴えています」と語る(デジタルジュネーブ条約については記事最後のコラムを参照)。

河野氏も山内氏と同様に、「サイバーセキュリティ対策ではセキュリティベンダーだけでなく公的機関や民間企業、一般市民など、あらゆる主体の参加が必要です」と強調する。実際、日本マイクロソフトも多種多様なパートナー企業との協業によって、サイバーセキュリティ対策に関するエコシステムを構築している。エコシステムの活動の一環として、顧客企業に対して「シャドーIT可視化サービス」と「監査ログ調査サービス」という2つのアセスメントサービスを無償で提供しているという。

この後、河野氏は「経営者が認識すべき三原則」を披露。具体的には(1)サイバーセキュリティのリスクを認識し、リーダーシップの下で対策を進めることが必要、(2)取引先も含めたサプライチェーンに対するセキュリティ対策が必要、(3)平時と緊急時のいずれも、関係者との適切なコミュニケーションが必要――という3つである。

東京海上はいかにして働き方改革を成功に導いたのか

基調講演の後には、河野氏と東京海上ホールディングスでIT企画部部長兼リスク管理グループリーダーを務める黒山康治氏の2人によるパネルディスカッションが開かれた。テーマは「クラウドセキュリティ実現のためのIT統制と内部統制の課題と進め方」である。

写真左:日本マイクロソフト株式会社 技術統括室 チーフセキュリティオフィサー 河野 省二氏
写真右:東京海上ホールディングス株式会社 IT企画部部長 兼 リスク管理グループリーダー 黒山 康治氏

90年代後半から始まった保険の自由化によって、東京海上ホールディングス傘下の生損保会社では商品の複雑化と事務の煩雑化が急速に進んだ。併せて、これらを支える情報システムも肥大化していったという。

そこで東京海上日動火災保険では、(1)商品と業務プロセス、IT環境を三位一体で改革する「抜本改革」(2008年)、(2)顧客接点の改革を中核とした「次世代モデル」(2012年)、(3)社員のワークスタイルを改革する「働き方変革」(2014年)――と、段階的に改革を進めていった。

働き方変革では働く場所・時間の柔軟性が高まった他、ペーパーレス化も進んだ。東京海上ホールディングスの黒山氏は「IT環境を整備するだけで生産性が上がるわけではありません。業務プロセスの改革にまで踏み込むことが大切です」と指摘する。自社でも働き方改革に取り組んでいるマイクロソフトの河野氏も「紙の文書を単に電子化するだけでなく、いろいろなバージョンが散在することのないように一元的に管理することが生産性の向上に直結します」と強調する。

働き方変革では、マイクロソフトのクラウドサービスも活用している。業務上でクラウドサービスを導入する際の留意点として、河野氏は「セキュリティやプライバシーの保護に関して、プロバイダー側の責任とユーザー側の責任を明確にすることが重要です」と指摘。黒山氏は、ユーザーの立場から「どこまでの責任を負うのか、つまり責任の境界点をきちんとユーザーに示せるプロバイダーを選定すべきでしょう」と語る。

黒山氏は、パブリッククラウドとオンプレミス(社内運用)のシステムが混在するハイブリッドクラウドの運用の難しさを説明する。「データの流れが複雑になるので、情報流出のリスクが大きくなります。事前にしっかりとリスクアセスメントを実施することが欠かせません」(黒山氏)。現在は多種多様なソリューションが提供されているので、事前にリスクが明確になれば、それを軽減する手立ては必ずあると強調する。

東京海上ホールディングス傘下の東京海上日動火災保険と日本マイクロソフトは2018年1月22日、働き方改革の推進において協業することに合意したと発表している。協業の第一弾として、テレワーク中の各種リスクに対応する「テレワーク保険」を共同開発。東京海上日動火災保険が2018年2月から提供を開始している。東京海上日動火災保険自身も、マイクロソフトのクラウドサービス Microsoft 365 を導入し、2017年10月より、テレワークを東京海上日動火災保険全社員に拡大し、働き方改革を促進している。

業界、業態の垣根を超えた「働き方改革」への取り組みに引き続き注目だ。

知っておきたい「デジタルジュネーブ条約」

「デジタル版のジュネーブ条約が必要だ」。2017年2月、セキュリティに関するイベントの基調講演に登壇したマイクロソフト・コーポレーションのプレジデント兼最高法務責任者、ブラッド・スミス氏は、こう力説した。スミス氏は、特定国家の政府機関を後ろ盾にしたサイバー攻撃が増えているにもかかわらず、インターネットを利用する一般市民を保護する国際的な取り決めがないと懸念する。

1947年に成立したジュネーブ条約第4条約によって、戦時下でも一般市民は保護されてきた。サイバー空間が陸・海・空・宇宙に続く第5の領域となった現在、ここでも一般市民を保護する枠組みが必要だというのがスミス氏の主張だ。スミス氏、そしてマイクロソフトは全社を挙げて、安全なサイバー空間形成への取り組みの一つとして脆弱性の情報が蓄積したり、販売したり、利用したりするのではなく、または重要インフラの攻撃または選挙妨害などしないことをいわば約束するような、「デジタルジュネーブ条約」が必要だと訴えている。本セミナーでも、日本マイクロソフト 政策渉外・法務本部 サイバーセキュリティ政策担当部長 片山 建氏が「サイバー空間においては、規範の順守など新たなmulti stakeholderのアプローチが必要」であると呼びかけた。

ページTOPへ