日本の｢セキュリティ自給率｣､低迷が深刻なワケ 技術が育たない｢データ負けのスパイラル｣とは

日本の「セキュリティ自給率」は、アメリカや韓国などほかの先進国に比べるとかなり低い水準にあると考えられる（写真：: metamorworks / PIXTA）

「日本のセキュリティ自給率が低い」と指摘するのはNICT（情報通信研究機構）サイバーセキュリティ研究所の井上大介氏だ。「セキュリティ自給率」とは、日本で使われているサイバーセキュリティ製品・サービスのうちの国産の割合のこと。同氏は「いわば自分自身の身体測定・健康診断ができない状態で、ナショナルセキュリティの観点からも好ましくない」と警鐘を鳴らす。なぜこのような状況に陥っているのか。その背景と改善策について話を聞いた。

【図表を見る】日本が陥っている「データ負けのスパイラル」とは

セキュリティの「ブラックボックス化」が進んでいる

サイバーセキュリティの必要性は、インターネットの普及とともに増してきた。日本にとって不運なことに、その期間は「失われた30年」と重なる。利益を生まないセキュリティへの投資は進まず、研究開発は後回しにされた。

「企業の研究所などを見ても、セキュリティ研究に取り組んでいた人がクラウドやビッグデータといった、バズワードとなる研究に回されることが多かったように思います。そうなると腰を落ち着けて研究開発ができないので、国内のセキュリティ技術が育ちません」（井上氏、以下コメントは全て同）

セキュリティ技術が普及しないため国産のセキュリティ製品・サービスが供給されず、そこで取得できるはずのサイバー攻撃の実データが集まらない。

データがなければ研究開発も人材育成もできず、国産のセキュリティ技術が高まらない。それを「データ負けのスパイラル」と井上氏は表現する。

「そうなると、海外のセキュリティ技術を導入・運用する形態が主流にならざるを得ません。セキュリティ自給率の算出は容易ではありませんが、さまざまな専門家に聞くとほとんどが10％以下という答えです。いずれにせよ、アメリカや韓国などほかの先進国に比べるとかなり低い水準にあると考えられます」

海外ベンダーに頼りきりになることの問題点は、「セキュリティのブラックボックス化」が起こることだと指摘する。

「セキュリティツールからアラートが出ても、その理由や根拠は何か、本当に見逃しはないのかといった疑問は、本質的な技術まで理解していないと解決できません。しかし、ベンダーに問い合わせても『社外秘の技術だから開示できない』で止まってしまいます。

どんな攻撃を検知できて、どの攻撃を取り逃がしているのかわからないのに、本当に守れているといえるのかという話なのです」