米国系クラウドベンダーが
活況を呈する理由
これに対して欧州の動きはどうか。16年7月、欧州情報ネットワークセキュリティ庁がNIS Directiveを施行。内容はEU市場で活動する企業が前述の米国基準に事実上準じた標準で指定された技術体系の採用を義務付けるものだ。期日は2018年5月10日までであり残り時間は少なく、欧州でも情報システムのクラウド移行を加速している。アマゾンをはじめとする米国のクラウドベンダーが活況を呈しているのはこのためだ。
冒頭の日本企業がクラウドに移行したこともこれに追随した動きだと思われる。一方、多くの日本企業のCIO(最高情報責任者)はいまだにクラウド不信を持つことに加えてサイバーセキュリティの観点からの有効性の認識が低い。そのため、日本企業はクラウド化が遅れてしまっている。
確かに現段階ではクラウドでは実現できない技術課題は残っているが、安全保障目的で米欧が進めているルール形成の潮流を理解すればクラウドに移行せざるを得ないだろう。
問題は、このような文脈でルール形成していることの認識を日本政府、民間企業の双方で行えていなかったことである。実はいまだにこうしたサイバーセキュリティのルールを統合的に説明している文書を米国政府は発信していない。
日本の場合、経済産業省に米国防総省の調達基準をフォローする義務はなく、防衛省は米国防総省の動向が日本の一般的な民間企業に与える影響を考慮する義務がない。内閣サイバーセキュリティセンターは国内の官庁と重要インフラのサイバー攻撃への対応力の向上が義務であり、管轄外である。つまり、官庁には安全保障政策を起点としたルール形成が日本企業に及ぼす影響を分析し、対応をリードする機能がそもそも存在しないのだ。
WTOやISOという国際標準を作る場で公然と話し合われる状況にならない限り、他国の政府調達基準には内政干渉となるため意見が言えない。さらに言えば、今回の米欧の政策連携は諜報機関同士での協議も行われてきた。こうした情報はそれと同様の組織ではない日本の省庁ではキャッチできない。この構図は深刻である。
今後、この手のパターンで米欧主導のルール形成に、中国がカウンタールール形成で打ち返すという安全保障政策起点のルール形成の応酬が続くだろう。サイバーセキュリティは安全保障を大義名分とした保護主義を促し、特定陣営間の標準争いになる恐れがある。