日本の｢セキュリティ自給率｣､低迷が深刻なワケ

「日本のセキュリティ自給率が低い」と指摘するのはNICT（情報通信研究機構）サイバーセキュリティ研究所の井上大介氏だ。「セキュリティ自給率」とは、日本で使われているサイバーセキュリティ製品・サービスのうちの国産の割合のこと。同氏は「いわば自分自身の身体測定・健康診断ができない状態で、ナショナルセキュリティの観点からも好ましくない」と警鐘を鳴らす。なぜこのような状況に陥っているのか。その背景と改善策について話を聞いた。

セキュリティの「ブラックボックス化」が進んでいる

サイバーセキュリティの必要性は、インターネットの普及とともに増してきた。日本にとって不運なことに、その期間は「失われた30年」と重なる。利益を生まないセキュリティへの投資は進まず、研究開発は後回しにされた。

「企業の研究所などを見ても、セキュリティ研究に取り組んでいた人がクラウドやビッグデータといった、バズワードとなる研究に回されることが多かったように思います。そうなると腰を落ち着けて研究開発ができないので、国内のセキュリティ技術が育ちません」（井上氏、以下コメントは全て同）

セキュリティ技術が普及しないため国産のセキュリティ製品・サービスが供給されず、そこで取得できるはずのサイバー攻撃の実データが集まらない。

データがなければ研究開発も人材育成もできず、国産のセキュリティ技術が高まらない。それを「データ負けのスパイラル」と井上氏は表現する。

「そうなると、海外のセキュリティ技術を導入・運用する形態が主流にならざるを得ません。セキュリティ自給率の算出は容易ではありませんが、さまざまな専門家に聞くとほとんどが10％以下という答えです。いずれにせよ、アメリカや韓国などほかの先進国に比べるとかなり低い水準にあると考えられます」

海外ベンダーに頼りきりになることの問題点は、「セキュリティのブラックボックス化」が起こることだと指摘する。

「セキュリティツールからアラートが出ても、その理由や根拠は何か、本当に見逃しはないのかといった疑問は、本質的な技術まで理解していないと解決できません。しかし、ベンダーに問い合わせても『社外秘の技術だから開示できない』で止まってしまいます。

どんな攻撃を検知できて、どの攻撃を取り逃がしているのかわからないのに、本当に守れているといえるのかという話なのです」

外資ベンダーの製品を使うことが悪いのではない。中身の技術を理解できないまま運用しているのが問題なのだ。

「『ちょっと熱が出ているかも』というとき、わざわざ海外に問い合わせなければならないのが現状なのです。ブラックボックス化が進むと、どうやれば守れるのか、本当に防御できているのかもわからない状況に陥る可能性があります。

万一、海外ベンダーが『もう日本市場はうまみがないから撤退しよう』となったとき、かなり困ることになると思います」

サイバー攻撃との“いたちごっこ”は終わらない

すでに国内企業のデータの多くが外資系ベンダーに渡っており、そしてそのデータを基に海外でさらなる研究開発が進められている。

「問題は、技術格差が広がるだけではありません。危機感を持ってセキュリティの研究開発に力を入れている日本企業はもちろんあるのですが、その検証はどうやっているかというと、海外で生成されたデータを購入しているのです。しかも数千万円と決して安くありません」

日本のデータが海外に流れて分析されるばかりか、手に入れようとすると高額な費用をとられてしまう。セキュリティ自給率の低さがこのような状況を作り出してしまっているのだ。

裏を返すと、セキュリティ自給率を上げれば、研究開発に欠かせないデータを自前で蓄積できるからコストも削減できる。コア技術が磨かれた人材も増えるだろう。

「人類の文明が始まって以来、残念ながら犯罪行為はなくなっていません。同様に、サイバー空間の犯罪行為であるサイバー攻撃も、残念ながら根絶できないでしょう。“いたちごっこ”をずっと続けていかなくてはならないので、どうしてもコストがかかります。翻ってみれば、セキュリティ製品を提供する側にとっては、ずっと売れ続けることを意味します」

こうしたビジネス機会を国内で取りこぼしてしまうのはもったいない。ベンダーだけでなく、リスク評価やコンプライアンスのサポート、セキュリティ人材育成のトレーニングや教育プログラムなど、周辺ビジネスは多種多様だ。

解析者コミュニティは約100人集まる

「データ負けのスパイラル」に陥っている状況の中、個社でセキュリティ技術を高めようとするのは簡単ではない。しかも今は、サイバー攻撃の高度化・巧妙化が進み、攻撃側のツールも多様化している。

それに対応できる製品を開発しようとすると、それぞれに検証環境を整えなくてはならず、かなりのコストがかかってしまう。

そうした状況を改善するため、NICTがサイバーセキュリティ研究所内で2021年に立ち上げたのがサイバーセキュリティネクサス（CYNEX、サイネックス）だ。ネクサス長を務める井上氏は、その狙いを次のように説明する。

「ネクサスは『結節点』という意味で、サイバーセキュリティにおける産学官の結節点を作ることをミッションとしています。産学官が連携して、データを大規模に収集・蓄積し、定常的・組織的に分析して国産のセキュリティ技術を高め、社会に展開していくことが目的です」

具体的には、「大規模データ収集および共同分析」「高度SOC^※人材育成および国産脅威情報の生成・提供」「国産セキュリティ製品の長期運用・検証」「セキュリティ人材育成支援および演習開発」の4つのプロジェクトを推進している。

CYNEXには企業や学校などの組織が参画しており、これらをシェアしている。言い換えると、サイバーセキュリティ研究所が長年蓄積してきたノウハウや、開発してきた検証環境を活用できることを意味する。

「『大規模データ収集および共同分析』を行っているプロジェクトでは、解析者コミュニティを作っており、1回の開催で約100人が集まります。セミクローズドにやりとりをしていますので、外では聞けないセンシティブな情報も得られます」

※SOC（ソック）は、セキュリティオペレーションセンターの略称。SOC人材にはオペレーターとアナリストがいる

「サイバー攻撃を誘い込む」基盤を貸し出し

サイバーセキュリティ研究所では、標的型攻撃を誘い込んで攻撃者の挙動をリアルタイムで把握できるサイバー攻撃誘引基盤「STARDUST」を開発しているが、その貸し出しもしているそうだ。

開発だけでなく、維持・運用にも相当のリソースを要するこうした基盤を提供することで、セキュリティ技術の底上げに寄与することを目指す。

「国産セキュリティ製品の長期運用・検証」では、民間企業から持ち込まれたプロトタイプの検証とフィードバックを行っており、すでに商用化フェーズに移行している製品もあるという。

CYNEXへの参画組織数は当初は40程度を見込んでいたというが、2024年6月時点で参画組織数は予測を大幅に上回る71。セキュリティに対する危機感が高まっているのと同時に、ビジネスとしての可能性を見出している企業の多さを表しているともいえそうだ。

「セキュリティの製品・サービスは、ビジネスとしても息の長いものになりますし、海外進出にもつながっていきます。私はアジア圏の各国に行く機会がありますが、高品質のイメージがある“メイド・イン・ジャパン”への期待はまだ大きなものがあります。

セキュリティ製品はとりわけ信頼性が求められますので、セキュリティ自給率を上げることは、日本の国際競争力を高めることにもつながるでしょう」

デジタル化が不可逆である以上、サイバー攻撃との戦いを避けることはできない。失われた30年を脱却して世界に伍するには、一歩一歩、着実に進んでいくしかないだろう。

（高橋秀和 ： ライター）