産官学それぞれの団体の知恵や各企業のセキュリティソリューションを集約・整理し、日本発の新たなトラストサービスおよびセキュリティ指針を発信する。そうした目的を掲げた「ジャパンセキュリティサミット 2019」が開催され、政府機関を中心に、様々な民間団体・企業、研究機関が集結した。ジャパンセキュリティサミットDay1の模様を登壇各氏のコメントでお送りする。

開会あいさつ

▼ジャパンセキュリティサミット実行委員長（一般社団法人セキュアIoTプラットフォーム協議会 理事長）　辻井 重男 氏

IoT機器は数が多く、寿命が長いものが多い上に、価格も安い機器も多いためにセキュリティ意識が低い。こうした状況の中でIoTのセキュリティを推進すべく、今年から「ジャパンセキュリティサミット」を開催することになった。本日はそのDay1でIoTのセキュリティについて深く切り込む。

12月17日に開催を予定しているDay2は公開鍵暗号などを推奨するMartin Edward Hellman教授のビデオメッセージをはじめとする海外の識者も含めた講演を予定している。加えて量子コンピュータに対応する暗号方式や5Gさらには6Gに向けた情報通信の将来像を議論する。Day3は、「情報セキュリティ人材育成・活用」というテーマでの講演や、女性・シニア研究者の活動を座談会形式でお届けする予定だ。わが国は高齢化が問題とされているが能力のある女性やシニアが活用できないのも問題ではないかとし、そこに論及する予定である。

ジャパンセキュリティサミットは今年だけでなく、来年、再来年と是非続けていきたいとし、開会の宣言とした。

●ジャパンセキュリティサミットDay2、Day3の詳細情報やお申込みはこちらから

来賓挨拶（1）

▼内閣官房 サイバーセキュリティセンター 副センター長 内閣審議官　山内 智生 氏

サイバーセキュリティ戦略が閣議決定されて約1年が経過した。そうした中で、量子コンピュータの話が最近よく出てくるようになった。量子コンピュータの実用化はまだ先になると思われるが、実現してからでは対応が遅くなってしまうので、今から準備を進めていきたい。日本が世界で存在感を持っているのは暗号であると考えている。ぜひこれを基盤として、基礎的なところの研究開発を期待したい。

政府としては、デジタルファースト、クラウドファーストを推進しているが、その際のセキュリティ基準を考えている。2019年はラグビーのワールドカップ、G20サミットなどについて、セキュリティ対策の準備や対応を進めた。今のところ大きな事故も障害もなくホッとしているが、2020年の東京オリンピック・パラリンピックにかけてこれで終わりにはならないと考えている。

IoTセキュリティが話題になることが多くなってきた。IoTデバイスは管理されていない”野良“デバイスになる可能性が高いからである。例えば通信の規格は10年サイクルぐらいであるが、機器はそれ以上の年月にわたり使われてしまうことがある。IoTの信頼性の確保とともにライフサイクルを通じたセキュリティを考えていくことが重要である。

政府では2021年の夏ごろに次のセキュリティ戦略の策定をしようと考えている。それまでに新たな課題が出てくると予想されるので、セキュリティの関係者、セキュリティだけでなくICTを推進する関係者が健全に課題に取り組めるようにしたいと考えている。

来賓挨拶（2）

▼総務省 サイバーセキュリティ統括官　竹内 芳明 氏

サイバーセキュリティは様々なシステム/サービスを開始する肝要なパーツになっている。新しい問題に取り組むときに企業や団体が連携して、それぞれのリソースを出し合って協力していくとことは重要だ。今回のサミットが、より具体的な話し合いやり課題解決につながれば良いと考えている。

サイバー攻撃は年々増えている。特にIoTへの攻撃が半数以上である。すでに導入されたIoTデバイスにはセキュリティが甘いケースが多数あるからだ。すなわち、導入済みのIoTデバイスを特定して注意喚起する必要がある。そこで法改正を実施し、2019年2月にIoT機器の調査及び当該機器の利用者への注意喚起を行う取組である「NOTICE（National Operation Towards IoT Clean Environment）」を開始した。現時点までに1億アドレスについて調査を完了した、東京オリンピック・パラリンピックまでには1億2000万アドレスの調査を行う計画である。欧米、ASEAN（東南アジア諸国連合）諸国とも連携し、今後は各国でも同じような対策を取ってほしいと働きかけている。

日本ではセキュリティ人材の不足が課題となっている。総務省では、2017年度からNICT（情報通信研究機構）に委託して、CYDER （ナショナルサイバートレーニングセンター）で実践研修を進めている。東京オリンピック・パラリンピック向けの研修だけでなく、イノベーターの育成にも取り組んでいる。その中で、シニアのリソースによる貢献も考えていくことも必要と考えている。

サイバーセキュリティの情報を共有し攻撃への防御力を高める民間組織としてISAC（Information Sharing and Analysis Center）がある。国内ではICT、ファイナンス、エネルギー、自動車、ソフトウエア、ヘルスケアなどの業界内でそれぞれリスク情報を共有するISACが儲けられている。ISACの活動は国内に閉じたものではない。日米間のISACで情報を非公開にした上でリスク情報を共有するという覚書が交わされ、国際連携してサイバーセキュリティへの守りを高める動きが進んでいる。

本日から3日間のサミットを通じて、産学官の連携が一つでも進むことを期待したい。

来賓挨拶（3）

▼経済産業省 サイバーセキュリティ・情報化審議官　三角 育生 氏

DX（デジタルトランスフォーメーション）の時代にはIoTデバイス同士がつながってデータが相互に連携され、新しいビジネスが生まれている。業界や企業の内部でデータの流れが閉じていた従来と異なり、例えばAPI（Application Programming Interface）などで連携することで多様なデータを処理して活用できるようになってきた。このデータの信頼性をどうやって担保するのかが重要になってくる。

経済産業省では、データの信頼性を担保するための構造を明らかにするため、組織や人、モノ、データを要素分解してその関係を示したサイバー・フィジカル・セキュリティ対策フレームワークを2年間かけて作成した。

さらに、このフレームワークを基にしながら業界ごとの慣習や基準に合わせた対策を考える産業サイバーセキュリティワーキンググループを作った。そして、対応する人材を育成するためにIPA（情報処理推進機構）内に産業サイバーセキュリティセンターを設置し、エキスパートを育てている。

DXは、組織にイノベーションを起こすべきものである。しかし情報が洩れた場合には、漏れたことによるリスクを負うだけでなく、ビジネスが止まってしまうリスクも負うことになりかねない。すなわち、情報漏洩からその復旧までのプロセスを含めて対策を施さなければならないであろう。そこで経済産業省はサイバーセキュリティ経営ガイドラインを発表し、セキュリティ対策として経営者が認識すべき3原則を設定している。

しかし、中小企業等にはリソースが不足していることが想定され、ガイドラインに沿った経営を実現するには困難がある。そこで2019年には全国8カ所でモデル事業として「サイバーセキュリティお助け隊」の取り組みを進めている。これは、自動でセキュリティ監視を行う装置を設置し、保険会社やセキュリティベンダーが組んでサイバーセキュリティ対策の支援する体制を整えるもの。今後は全国への展開を想定している。

政府全体でクラウド化を前提にしたシステム構築を推進するようになっている一方で、まだ民間にはクラウドに関する課題として「セキュリティが心配」という声が多くある。こうしたギャップを埋めるために、クラウドの安全評価制度を経済産業省、総務省と連携して考えている。

経済産業省の取り組みは以上のようなものであり、今回のサミットを機に是非皆さんと一緒にさらなる取り組みにつなげていきたい。

基調講演

▼日本経済団体連合会 サイバーセキュリティ強化WG主査　梶浦 敏範 氏

日本経済団体連合会（経団連）は2019年の6月の改組で、サイバーセキュリティワーキンググループを委員会に格上げした。この委員会に属するサイバーセキュリティ強化ワーキンググループの主査が梶浦氏である。

経団連のサイバーセキュリティ委員会の提言としては、2015年のサイバーセキュリティの強化から始まって、その後企業行動憲章（経団連の憲法のようなもの）の中で、「サイバー攻撃対策は産業界の社会的責任」と明言した。

企業ではDXが必須であるが、DXを推進するとサイバーリスクも同時に高まる。そこで、サイバーセキュリティ対策の強化を提言している。そして、現場だけでなく経営層の意識改革、覚悟、理解促進が必要ということから「経団連サイバーセキュリティ経営宣言」を策定した。

経団連のサイバーセキュリティ強化ワーキンググループでは2つの視点を提示している。

一つは、「サイバーセキュリティに尽力をするということは価値を創造することである」という視点である。何らかの研究開発、販売促進は投資であり利益を生む。しかし、サイバーセキュリティ投資は回収が難しい。ここが企業にとって一番の課題であろう。これを解決できるのは経営層しかない。サイバーセキュリティ投資は損金ではなく、価値を創造するための投資という考えを持ってもらいたい。サイバーセキュリティ対策が企業の競争力につながるという考えを持つべきであろう。海外企業からの目は非常に厳しいので、特にグローバルでビジネスを行う企業における対応の必要性は高い。

もう一つは危機管理である。サイバー攻撃を受けて事業の停止を受けたら損失額は測りきれない。自然災害対策も重要であるが、それ以上のリスクとしてサイバー攻撃に対するBCP（事業継続計画）、BCM（事業継続マネジメント）を考えるべきということである。

サイバーセキュリティ対策の全体像は、まずは取り組む姿勢として、自分で守る「自助」、業界や地域などで一緒に守る「共助」、政府機関の「公助」があり、その上で「国際連携」が重要になる。先ほどISACの国際連携が紹介されたように、こうした取り組みは重要である。

サイバーセキュリティ対策の仕組みでの側面では、関連する人員の意識改革が求められる。経営層だけでなく一般社員、さらに市民までを含めた全国民のリテラシー向上が必要である。また、メディアには被害を受けた企業ばかりを責めるという社会風土を見直してほしい。情報漏洩された企業に非がないとまでは言わないが、彼らは被害者であり、責めるべきは情報を盗んだ犯人である。

中小企業におけるDXの遅れの要因は、人材を確保場難しいことにあるだろう。この課題を解決するためには、業界や地域で行う「技術開発」、「投資促進」が必要であろう。実現に向けては、政府や企業の体制づくりに加えて、法制度・規範の整備がポイントである。

サイバーセキュリティ経営宣言では、東京オリンピック・パラリンピックをターゲットにして、「全員参加でサイバーセキュリティを取り組む」、そして「Society5.0に価値創造をする」ことを掲げている。こうした取り組みを1企業で行うのではなく、経団連加盟の約1500団体の連名で実施していくというスタンスである。経団連のWebサイトでも紹介しているのでぜひ参考にしてほしい。

サイバーセキュリティ対策はコストだという考え方が根強いが、サイバーセキュリティ対策の内容が株価に反映されるようになれば、コストではなくなる。つまりサイバーセキュリティ対策に取り組めば、株価が上がり、取引先が増えるというような社会システムが回るようになることを期待している。

そのためには、サイバーセキュリティ対策の「成熟度」を見える化して株式市場や取引先に開示する必要がある。現在でもIR報告書や企業の社会的責任を開示するCSR文書などに書いている企業もあるが、現状では内容の記載はまちまちであり、見える化を実現するには標準化が必要だろうと考えている。

経団連では、標準化された成熟度モデルによってサイバーセキュリティ対策の成熟度を可視化し、それを公表し、さらに改善計画を策定することで、市場での価値や評価を向上させる──といったスパイラルの形成を目指している。

パネルディスカッション

▼モデレーター：東京電機大学 特命教授 サイバーセキュリティセンター所長　佐々木 良一 氏

「今回は題名のないパネルディスカッションだ」と、モデレーターを務めた東京電機大学 特命教授 サイバーセキュリティセンター所長の佐々木 良一氏がこう切り出したように、Day1のパネルディスカッションにはあらかじめテーマが提示されていなかった。IoTのセキュリティのトピックを、セキュリティ関連の5つの業界団体から登壇したパネラーに議論してもらう。そうした共通認識の元で、IoTのセキュリティは、5Gやクラウド、AI（人工知能）など、多様な技術と切っても切れない関係にあることがディスカッションからあらためて浮き彫りにされた。

パネラーは、「重要生活機器連携セキュリティ協議会（CCDS）」代表理事の荻野 司氏、「セキュアIoTプラットフォーム協議会（SIOTP協議会）」主席研究員の松本 義和氏、「日本クラウドセキュリティアライアンス（CSAジャパン）」業務執行理事の諸角 昌宏氏、「日本ネットワークセキュリティ協会（JNSA）」IoTセキュリティWGリーダーの松岡 正人氏、「モバイルコンピューティング推進コンソーシアム（MCPC）」セキュリティ委員会の井上 栄氏の5人。冒頭に各団体の狙いや活動内容を紹介してから、ディスカッションに入った。

佐々木氏が提示したディスカッションのキーワードの1つは「5G」。クラウドの観点から、CSAジャパンの諸角氏が、「クラウドのセキュリティにとって、5Gの登場はチャレンジになる。デバイスが5G対応になり、クラウドとの間にはエッジが入る。場合によってはオンプレで処理することもある。適材適所で処理が行われるようになると、分散処理の技術が必要になり、セキュリティ面からもクラウドの分散環境について考えていかなければならない」と切り出した。SIOTP協議会の松本氏は、「5Gが登場して、数百億にも上るデバイスがつながり、多くの情報を使えるようになる。一方で、数百億のデバイスを誰がマネジメントするのか。AIを使って、正しい者同士だけがつながるような仕組みが1つの形になるのでは」と、5G時代のセキュリティの姿を予測する。

MCPCの井上氏は、「ハッキングの仕方にもトレンドがある。IoTの普及で、IoTを踏み台にする攻撃が増えた。スマートフォンのSMS（ショートメッセージサービス）は安全と言われていたが、これも攻撃に使われるようになった。5Gになると、さらに多くの機器がどこでもつながるようになり、攻撃のトレンドも変化していく。いち早く変化を理解して、守りを固めていくことが近道ではないか」と攻撃者のトレンドを読むことの重要性が高まると指摘する。

▼MCPC　井上 氏

佐々木氏は、SIOTP協議会の松本氏が提示したAIについての議論に話題を移し、「AIで注目されているのは、データを基にしたもの。ビッグデータ解析は、セキュリティなどの異常系でも効果があるのか」と話を振った。

SIOTP協議会の松本氏は「自動攻撃にAIを利用する手法はすでにある。AIには感情がないため、悪意があるか判断できない。いつもと違う挙動だから攻撃ではないかということを、どのように判断していくか。そこではエッジデバイスのセキュリティ認証が重要になっていく」と受ける。JNSAの松岡氏は、「AIを使ってセキュリティを実装していくとき、AIにはブラックボックス的なところがある。ユーザーが意図したように機能してくれないとき、原因を解きほぐそうとしたときにブラックボックスにあたってしまう可能性がある」と指摘。CSAジャパンの諸角氏が「AIに限らず、IoTの環境、すべてにおいて、技術的にどこまで信頼を積み上げられるのかが課題。技術的にどこまで保証できるかを積み上げて、その先に解決を見出すことになるだろう」と議論を受ける。

▼SIOTP協議会　松本 氏

CCDSの荻野氏は「AIでは、正常系を学習する教師あり機械学習が割と成功している。一方で、マルウエアの対策は教師なしの学習になる。そこでは、遺伝的アルゴリズムを使った手法や、未知の脆弱性などを検出するファジングツールの利用が上手く行っているようだ。AIで人間が見つけられない脆弱性などをかなり見つけられている」と状況を解説した。

▼CCDS　荻野 氏

佐々木氏は、サプライチェーンのセキュリティにも言及した。「信頼の問題をどうするか。サプライチェーンは100％安全にするにはコストがかかり、現実的ではない」と口火を切った。JNSAの松岡氏は、「ハードウエアを含めたクラウドサービスでは、ルートオブトラストが重要な役割を追っているのではないか」と受け、SIOTP協議会の松本氏が「信用は積み重ねることで、信頼が生まれる。IoTの時代では、まさにそうした考えが必要かもしれない。1人、1台が正しいと主張しても疑いがあるが、10人、10台が正しいといったら信頼できるかもしれない。みんなで検証できる仕組みが必要になるのではないか」と語る。

▼JNSA　松岡 氏

佐々木氏は、「最初のポイント、そこに信頼がおけるかどうかが重要。仕組みとしての認証をコストも含めてどうするかが課題だろう」と指摘すると、SIOTP協議会の松本氏が「信頼の起点となるトラストアンカーがどう信頼できるか、議論しているところ。無菌状態でトラストアンカーを打ち込んだデバイスの堅牢性、安全性を定義しつつ、コストを含めたビジネスモデルを再構築していかないといけないだろう」と応えた。

▼CSAジャパン　諸角 氏

団体の活動については、MCPCの井上氏が「各団体は異なる観点で取り組みを進めている。1つのものごとも立場によって異なる見方があるので、団体をまたいだディスカッションが求められる」と提案。またグローバルの視点から、CSAジャパンの諸角氏は「ガイドラインなどの内容に日本とグローバルのギャップがない状態にしたい。二度手間にならないように国際組織との連携を進めていきたい」と語った。最後にモデレーターの佐々木氏が「同じIoTでもケースによって対応が異なる場合がある。ケースをいくつか決めて共有していくことも1つの方法かもしれない。さまざまな形で協力があって、安全なIoTシステムができていくことを期待したい」と語り、パネルディスカッションを締めくくった。

ランチセッション

▼ADIN.INC（US） CTO　鈴木 伸治 氏

お弁当を食べながらのランチセッションでは、ADIN.INC CTOの鈴木 伸治氏が、ネットワークセキュリティの新しい仕組みについて解説した。鈴木氏は、「サイバーセキュリティのリスクは、つなげるからある」と指摘。多くのセキュリティ対策は、「つながった後のセキュリティ」であるとし、「つながる瞬間のセキュリティ」を考える必要があるという。

そこで鈴木氏は、つながる瞬間にセキュリティを守るための仕組みとして「Key Transfer Protocol（KTP）」を提唱する。「多くのセキュリティプロトコルでは、鍵交換を行っている。特に秘密鍵は鍵の管理が大変だ。それならば、鍵がなければ良いだろう。鍵管理が不要になり、中央集権の仕組みも不要になる」（鈴木氏）。公開鍵や秘密鍵のような固定の鍵はどこにも存在せず、セッションを張りに行くときに生成した対称鍵を配送するプロトコルがKTPだという。KTPの仕組みを利用したシステム動作を、TS Key Managementと呼ぶ。

この仕組みでは、鍵も鍵穴も存在しないことから、鍵の流出といったセキュリティリスクからシステムを守ることができる。また、KTPはセッション開始や暗号通信、認証などのオーバーヘッドが軽いことから、IoTデバイスでの利用に適しているという特徴がある。「米国で話をしたら、IoT機器の認証に使えるのではと注目された。フィッシング対策、スパイチップ対策にも有効だと考えている」（鈴木氏）。

Day 1のランチセッションでは、KTPとTS Key Managementの紹介を行い、Day 2（12月17日）の講演で詳細や事例を含めた解説を行う。

ジャパンセキュリティサミット2019では、講演の他に協賛社のサービスの展示もあり、参加者は休憩時間などで各社のブースで情報収集を行った。

●ジャパンセキュリティサミットDay2、Day3の詳細情報やお申込みはこちらから