日経ビジネス電子版 Special 週刊日経ビジネス電子版 SPECIAL日経ビジネス電子版

サイバー犯罪に対抗。国際的な信頼関係構築

サイバーセキュリティにおける「透明性」の確保 〜 信頼に基づく官民連携と国際協調のために「サイバー犯罪に対抗するために国際的な信頼関係を再構築」

 サイバー犯罪者は国境を越えて手を結び、知識や技術を共有することで新たな戦術や手法を生み出しながら脅威を拡大させている。今やサイバー犯罪の国際的なエコシステムが確立している状況だ。一方、我々を取り巻く社会を俯瞰すると保護主義の台頭、地政学的な問題が顕在化するなかで国際協力が退行し、サイバー犯罪に国際的に対抗していくための重要な基盤が崩壊しつつある。

 情報処理推進機構(IPA)の江口氏がモデレーターを務めるパネルディスカッションに、Kaspersky Labのシンガリョーフ氏、CyberGreen Instituteの伊藤氏、経済産業省の土屋氏、日本マイクロソフトの河野氏が登壇。国際協力を取り戻すために欠かせない信頼関係をいかにして再構築していくべきなのか議論した。

モデレーター

江口 純一

情報処理推進機構(IPA)理事
メインスピーカー兼パネリスト

アントン・シンガリョーフ

Kaspersky Lab
パブリックアフェアーズ担当バイスプレジデント

 これはKaspersky Labにとっても、自社のセキュリティ製品やサービスに対する信頼を獲得するための重要な課題である。シンガリョーフ氏は、「私たちはテクノロジーのナショナリズムにさらされている。それに順応しながらも、克服していく道を見出さなければならない」と語った。そして実行したのが、スイスにデータセンターとトランスペアレンシーセンターを開設し、自社のコアインフラをそこに移動するという施策である。製品のソースコードを開示し、第三者組織によるレビューおよびソフトウェア開発プロセスの安全性に対する独立機関による評価を受けることで、信頼を高めていくという姿勢を示した。

 CyberGreen Instituteの伊藤氏も、「トランスペアレンシーセンターの立ち上げは、重要なステップとなる」と、Kaspersky Labの取り組みを高く評価した。

 一方、伊藤氏は「そもそもソフトウェア企業自体に対する信頼がなければ何も始まらない」とも指摘した。ソフトウェア製品の信頼を高めるうえでソースコードの開示は言うまでもなく重要だが、それ以上に大切なのは、その製品がどのように開発されたものなのかを明らかにすることである。たとえば開発プロセスやテスト結果なども透明化されていなければならない。これはサプライチェーンのセキュリティにも直結しており、伊藤氏は「アセンブルされるすべてのコンポーネントが同様に、誰によって、どのように開発されたものなのかを明らかにする必要がある」と強調した。

多層的なイニシアチブで透明性を担保する

 製品やサービスに対する信頼をいかにして高めていくか――。日本マイクロソフトの河野氏は「最も重要なのはオーソリティがどこにあるのかを示すこと」とし、マイクロソフト自身の施策を紹介した。トラストセンターの開設もその一環となるもので、たとえば「NIST SP800-171」認証に対してどのようなポリシーで臨んでいるのか、中立的な立場から取り組みのすべてを明らかにしている。さらに、さまざまなテクノロジーの標準化を推進し、あえてマイクロソフトから離脱しやすい環境を作っているという。

パネリスト

土屋 博英

経済産業省 商務情報政策局
サイバーセキュリティ課 企画官
パネリスト

伊藤 友里恵

米CyberGreen Institute
創設者・エグゼクティブディレクター
パネリスト

河野 省二

日本マイクロソフト
技術統括室 CSO

 また、経済産業省の土屋氏が政府としての取り組みを紹介。「産業サイバーセキュリティ研究会を立ち上げ、ソフトウェアの透明性向上を検討するほか、ステークホルダーが複雑に絡み合うサプライチェーンのなかで、誰が、どのような責任を果たし、どういった対策をとればよいのかを整理すべく、フレームワークの策定を進めている」と語った。

 こうしたパネリストのコメントを受けてシンガリョーフ氏は、「皆さまの意見に私も強く同意する。おっしゃるとおりソースコードを開示しただけでは意味がなく、Kaspersky Labではデータインフラの開示や第三者組織による監査体制など、多層的なイニシアチブで透明性を担保しようとしている」と語った。また、サプライチェーンにおけるステークホルダーとの協力体制の確立も重要かつ喫緊の課題と認識しており、各国の政府や規制当局とも連携しながらあるべき標準を模索していくという姿勢を示した。