1 / 4
資料1
情報セキュリティ技術開発を活用した 産業活性化ワーキンググループ
第2回会合議事要旨
1. 日時 平成24年 5月10日(木)15:00~17:05 2. 場所 内閣府別館 大会議室
3. 出席者 [主査]
手塚 悟(東京工科大学)
[委員]
鵜飼 裕司(株式会社フォティーンフォティ技術研究所)
菅谷 光啓(エヌ・アール・アイ・セキュアテクノロジーズ株式会社)
高橋 幸雄(独立行政法人情報通信研究機構)
松井 俊浩(独立行政法人産業技術総合研究所)
元橋 一之(東京大学)
(五十音順)
[事務局]
内閣官房情報セキュリティセンター内閣審議官 内閣官房情報セキュリティセンター内閣参事官
4. 議事概要
(1) 開会
○ 内閣官房情報セキュリティセンター副センター長占部審議官より挨拶。
(2) 第1回会合議事要旨確認
(3) 「情報セキュリティ研究開発戦略」の取り組み
○ 事務局より資料2、参考資料2、3に沿って説明
○ 研究成果の事業化・産業化において民間の役割が重要であり、研究開始段階から、売り方 までを含めて官民で検討していくのが良いのではないか。
(4) 「情報セキュリティ産業活性化」に関する調査紹介
○ 事務局より資料3、参考資料4、5に沿って説明
○ 補助金が交付される委託事業は、委託者の要求に対応すればするほど赤字になるケースが 多く出資者の理解を得にくい面がある。ベンチャー企業等の活性化のためにこのような委 託事業方式を用いるには改善が必要。
○ 各企業はセキュリティの投資効果の測定に苦労している。また、国家戦略としてセキュリ
2 / 4
資料1
ティマーケットを創造するには、法制度等も含めた議論が必要であり難しい。
(5) 「情報セキュリティ技術開発を活用した産業活性化」についての論点
○ 事務局より資料4に沿って説明
< 論点1(情報セキュリティ産業の現状)について >
○ セキュリティは全ての分野に対応する必要があると言われるが、産業化を考えるにはいず れかの分野に集中する必要がある。また、セキュリティ単独で考えるのではなく、安全と いう付加価値があると産業がさらに伸びるという視点が必要である。
○ いわゆるビッグデータのように、知らず知らずのうちにどこかに情報がたまっていくこと がある。サービスを受けることはありがたいが、不安要素も存在する。しかしそこにセキ ュリティに関するニーズも存在する。セキュリティのみにとらわれず、どこにイシューが あるかを考えることが重要である。また、日本はものづくりができることも強みであり、
生かす必要がある。
○ 防衛的な観点から高度な技術を保有するため、ネットワークセキュリティに少しでも日本 の産業が食い込んでいくということが必要と思う。
○ ビッグデータのセキュリティについてはまだまだ不十分であり、日本が早期に取り組んで いくことも考えるべきである。ポスト・インターネットも同様である。これらに取り組む ためには、通信関係企業を含めた官民連携が必要不可欠である。さらに自動車等の制御系 やスマートグリッドにおけるセキュリティなど、大きなマーケットシェアが得られ、将来 発展するものに活路を見いだすことが必要ではないか。
○ 研究開発戦略にある重要テーマの実現に関して政府が出資ファンドを作り、展開してはど うか。また出資先の活動をモニタリングするために、研究者やベンチャーキャピタルらが 協力し、成長するスキームがあると良いと考える。
○ (事務局)日本は、ハードウェアに特化した技術に強みがあると言われるが、情報セキュ リティはどちらかと言えばソフトウェアの技術であり、日本の優位性を出しにくいのでは ないか。また、逆に日本人が安全に慣れているために要求レベルが高いことを強みとも考 えられる。
○ 一般に日本のシェアが大きい産業は、部品等が多くシステムが少ない。逆にシェアが低い が、4WD の軽トラックなど日本でしか作っていないものであり、海外で人気があるもの もある。そのような業種をセキュリティの対象とすることもできる。
○ 日本が、大きなマーケットに対してフォロアー戦略を取るよりも、集中した部分に対して ニッチな戦略を取るのも、戦略として正常と思われる
○ クラウド上のオンラインゲームなど、プラットフォームではなく、アプリケーションで勝 負するという考え方もある。
○ ゲームにおいては「日本のおもてなし」という考え方を取り入れたところ、評判がよかっ たと聞く。日本独自の感覚で安全性を高めたものを売っていくのもいいのではないか。ま た、安心・安全をフューチャーしたヒューマンインターフェースにセキュリティをからま せればいいとも考える。
○ 日本は消費者がもつニーズのクオリティが高く、安全性についても同じことが言えると思
3 / 4
資料1
われる。クラウドやビッグデータのような新しいイシューは、最初セキュアではないこと がある。その課題を考えてはどうか。
○ 日本はHow to make型に強いので、新しいことを考え出すより、既存の対象において最高 のセキュリティを実現する方が向いているのではないか。
○ ハイエンドのセキュリティ管理製品については、デファクト化、制度化等のアプローチが 考えられるが、マーケットをどう作るかが難しい。
< 論点2(市場と顧客の特性)について >
○ 経営層のより一層の自覚を促すため、経済産業省の監査制度等を一定基準の会社に義務づ けし、有価証券報告書に記載させるなどの手段はどうか。
○ 経営層は、利益の追求が先立ち、なかなかセキュリティに投資しない。定量的なリスク評 価を行い、経営層に理解いただくという議論があちこちでなされている。法令化について は、個人情報保護の考え方から位置情報を活用する研究が遅れた例もあり、ネガティブな 影響を考慮して慎重に行う必要がある。
○ いまの経営層は直感的にセキュリティに関し安全神話に頼っており、投資効果についても、
危険性が少ないので投資する必要がないと判断をしている可能性がある。
○ 中小企業の経営者に対しては投資が困難な分、啓発活動は重要である。法制度よりもマー ケットメカニズムの中で解決する方が良い。なお、安全・安心の社会に向けた方向を示す ことは総合科学技術会議でも取り上げられている。
○ セキュリティリスク評価に関し、「そこそこセキュリティ」という考え方がある。中小企業 等で、どの程度の安全性があれば良いかをわかるようにすることは必要である。一方、大 規模なインシデントなどで、企業はダメージを受けることも考慮すべきである。
○ (事務局)監査制度は人間による監査では不正確な要素が加わる可能性があり、有効に機 能しない可能性もある。リスク評価よりもツール等を用いた検査制度や検査基準として結 果が明らかにできる方法が有用とも考えられる。
○ Web サイトのような外部に見える部分のセキュリティと比較して、内部管理についてはレ ベルが比較的低いと思われる企業が多い。自社のレベルが明確に理解できる仕組みも必要 と思われる。
○ まず「見える化」の実現が重要である。また、自社における最低限のセキュリティレベル やプラスアルファはなにがあるかを考える必要がある。大企業は多くを対応しているが、
中小企業は十分ではない傾向がある。最低限のボトムラインを明確にするために、法令化 や制度を検討することも手段と言える。その先は経営判断によりさらに見える化を行うと いうのが優先事項ではないか。
< 論点3(研究開発と産業技術力)について >
○ 国産技術として保有しなければいけない技術には、そもそも輸入できないもの、もしくは 輸入できなければ死活問題につながるものがあると考える。前者に攻撃技術がある。新聞 報道を見る限り米国は現実的に攻撃技術を研究しており、そこから産業も生まれている。
そもそもの是非論はあるが、攻撃に軸足を置いて議論することも意味があると思われる。
4 / 4
資料1
○ 守りの技術を進化させるためにも、攻撃技術は重要である。
○ ものづくり神話は品質の改善をたゆまぬ努力で進めてきた結果であり、セキュリティ神話 を作るにも改善を繰り返した長い実績が必要である。
○ セキュリティ神話は、ソフトウェアのような変化が激しい分野で、実際に意味をもつかと いう逆説も含めて検討すべきである。
○ ソフトウェア技術単体では日本はむしろ強い。ただし、技術を産業として売っていくため のノウハウを得る機会が米国と比較して少ない。そのような機会を得るための仕組みが重 要であると考える。
(6) 今後のスケジュール
○ 事務局より資料5に沿って説明(次回開催時間を16~18時に変更)
(7) 閉会
以上
