経済安全保障で激しさを増す世界の情報戦─サプライチェーンのセキュリティリスクにどう立ち向かうか?
サイバーセキュリティをテーマとする国際会議「サイバー・イニシアチブ東京2020」がオンライン配信形式で開催され、トレンドマイクロセッションでは、国の保安リスクとも言えるサプライチェーンのセキュリティリスクをテーマにパネルディスカッションが展開された。

2020年11月、サイバーセキュリティをテーマとする国際会議「サイバー・イニシアチブ東京2020(以下、CIT 2020)」(主催:日本経済新聞社/日経BP)がオンライン配信形式で開催され、トレンドマイクロセッションでは、国の保安リスクとも言えるサプライチェーンのセキュリティリスクをテーマにパネルディスカッションが展開されました。以下、本ディスカッションのエッセンスを報告します。

経済安全保障とサイバーセキュリティトレンドマイクロセッションで展開されたパネルディスカッションは、日本における「経済安全保障」の強化が唱えられる中で、その重要なテーマの一つであるサプライチェーンのサイバーセキュリティをいかに確保するかに焦点を絞ったものだ。
パネリストには、経済安全保障研究の第一人者として知られる國分俊史 多摩大学大学院教授をはじめ、国立情報学研究所客員教授の三角育生氏、情報通信研究機構ナショナルサイバートレーニングセンター長の園田道夫氏、トレンドマイクロ執行役員の清水智などの有識者が顔を揃え、モデレーターを初代インターポールIGCI総局長でトレンドマイクロ顧問の中谷昇氏が務めた。
周知のとおり、経済を巡る米中両国の対立は激しさを増し、その戦いは日本を含む各国政府による経済安全保障の強化という流れを生んでいる。
経済安全保障とは、例えば、軍事転用の可能な技術に輸出規制をかけたり、国家機密の漏えいリスクがある製品の政府調達を禁じたりといった、「安全保障」と「経済」とをクロスさせた国防の政策(あるいは、国益保護の政策)を指す。軍事上の安全保障と同じく、経済安全保障のカギも「情報戦をいかに制するか」にあるとされ、国防上の安全や国益、自国産業をセキュリティ侵害のリスクからいかに保護するかが重要となる。
この考え方に基づき、米国はすでにいくつかの中国製品の政府調達を「国家保安上のリスクが高い」ことを理由に禁じたほか、ある中国企業に対しては、米国企業が部品を供給することも禁じ、米国と同盟関係にある日本のメーカーも、その中国企業への部品供給を断念せざるをえない状況に追い込まれた。対する中国も、米国を同じように政府系機関が調達する製品について厳格な規制をかけている。
さらに日本でも、これまで経済安全保障政策で米国や中国に大きく遅れをとっているとされてきたが、2020年4月には政府の国家安全保障局に経済安全保障を専門とする経済班を発足させ、軍事転用が可能な先端技術の管理(流出防止)やサイバーセキュリティの強化に乗り出している。
必要とされる新たな
多国籍モデルへの転換
ディスカッションの冒頭、上述したような経済安全保障の情勢について説明を求められた國分氏は、次のように話を切り出す。
「経済安全保障を巡っては『世界経済が米中で分断され、日本は、どちらに与(くみ)するかの踏み絵を迫られている』といった議論に終始しがちですが、問題の本質はそこにはありません。経済安全保障で大切なのは、日本も自分たちを守る『盾』をしっかりと持った状態で、米中両国と経済活動やビジネス、取引をしっかりと続け、両国の対立を融和へと導くリーダーシップを発揮することです」
もっとも足元の状況を見ると、中国の経済安全保障政策を巡って日本の産業界にとって憂慮すべき動きも見られているという。それは、中国が輸出管理法を改正し、2020年12月1日から施行されたことだ。これにより、例えば、日本の中国拠点と、中国内の取引先が技術に関して対話(情報交換)をするだけで『見なし輸出』と判断されてしまうリスクがあるという。
また今後は、米国と中国にまたがって研究開発部門を持っていること自体がリスクとなり、米中両国にある研究開発部門同士が、お互いの情報を一切見ていないことを証明するといった、非常に複雑な「社内デカップリング」のガバナンスを徹底しなければならなくなる可能性もある。
「これは要するに、情報システムや人事制度、各拠点のガバナンスのあり方を含めて、ビジネスモデルとサプライチェーンの両者を大幅に見直す必要があるということです」と、國分氏は語り、次のように続ける。
「日本企業は、1980年代における対米貿易摩擦の関係から、地産地消・現地雇用創出型の多国籍化を推進しましたが、進化したITの力を使い、1990年代後半から各国に分散化した機能の一部をコスト効率と資源アクセスの観点から最適な地域に集中させる集中と分散から成るグローバリゼーションを推し進めました。それが今日、各国の経済安全保障政策に準拠するために新興技術領域について多国籍化に戻ることが迫られています。その際にDXを活用して高効率化・高付加価値化・サステナビリティの最大化を実現することで競争優位を生む形で多国籍化を目指すことが不可欠です」
國分氏によれば、こうした変化に企業が対応するには、「経済安全保障対策を専門に担う役員の設置」「経済安全保障を最優先した経営意思決定体制の構築」「グローバル拠点ごとに、それぞれの国内法に基づいた機密保護施策の策定と遂行」などを推し進めることが必要不可欠になるという。

経済安全保障に対応するための基本
これからは各国の経済安全保障政策、あるいは国内法に基づいた機密保護施策の徹底が必要とされる──。こうした國分氏の指摘を踏まえながら、元経済産業省サイバーセキュリティ・情報化審議官であり、国立情報学研究所客員教授の三角育生氏は、経済安全保障について次のような見解を示す。
「経済安全保障への対応という意味でまず大切になるのは、海外と取引する製品・技術をどう管理するかで、製品のデジタル化が進行する今日では、管理の対象としてソフトウェアやソフトウェア開発技術といったデジタルデータが非常に重要になっています。製品・技術管理自体は、日本の企業もかねてからしっかりと行ってきましたが、その製品・技術管理のノウハウをどうデジタルの世界にシフトさせ、サイバーセキュリティの知見と融合させるか──言い換えれば、製品・技術管理とサイバーセキュリティの知見を持った人材をどう育成していくかが大きなカギになると見ています」
この言葉を受けたかたちで、情報通信研究機構ナショナルサイバートレーニングセンター長の園田道夫氏は次のように話す。
「経済安全保障を巡る各国の動きを見ていると、データを巡る各国間の戦争がまさに起きているとの印象を強く受けます。自分たちのサプライチェーンから、いかに多くのデータを収集し、かつ、競合には大事なデータを渡さないようにすることが大切で、そのセンスを持った人材を数多く育てることが重要であると考えています」
さらに、トレンドマイクロの清水 智は、民間企業の立場から、経済安全保障にどう対応すべきかについて次のような見解を示す。
「我々のような民間企業が、経済安全保障下のサプライチェーンの中で成すべきことは大きく2つあります。一つは、サプライヤーとして製品の安全性を担保し、顧客からの信用・信頼を獲得することです。また、もう一つは、バイヤーの立場として自社のサプライチェーンの信頼性と安全性をしっかりと評価し、管理することです。これまでのB2B取引では、製品に対する信用・信頼が人と人とのつながりによって維持されることが多かったのですが、経済安全保障の影響が強まるこれからは、そのようなことはまずなくなるはずです。民間企業がそうした時代を乗り切るためにも、園田さんの言うように、セキュリティ人材の育成が一層の重要性を帯びてきていると思います」
加えて清水は、セキュリティ人材を育成していくうえでの要点についてこう付け加える。
「経済安全保障を加味して企業のセキュリティを確保しようとした場合、特定の事業でどのようなデータをどう扱うべきかについて相当の専門知識が必要とされるはずです。これからは、事業の中でセキュリティを考える人材と、企業全体、あるいはサプライチェーン全体のセキュリティを考える人材の2系統が必要になると思います。今後は、そうした人材の働きによって、全体のセキュリティを確保する確かな土台を築き、その土台の上で、事業ごとに求められる強度でデータを保護する適切な仕組みを作り上げていくことが必要とされ、結果としてそれが、セキュリティ投資と経営戦略とのバランスの最適化につながると見ています」

サプライチェーンのガバナンスを
巡る課題
一方、清水が述べた「(バイヤーとして)サプライチェーンの信頼性・安全性を確保する」という取り組みを推進するうえでは、サプライチェーンを構成する全サプライヤーのリスク管理を徹底する必要もある。
ところが、日本の場合、サプライヤーの管理が徹底されておらず、それがサプライチェーンのセキュリティリスクを高めていると、國分氏は指摘する。
「米国の場合、サプライチェーンを構成する末端のサプライヤーまで、すべてを管理するのが常識ですが、日本企業の場合、3次請け以降のサプライヤーのことは見えていないことが多くあります。当たり前の話ですが、見えていないものは管理できず、結果として、サプライチェーンの信頼性・安全性が確保できないという話になります。
しかも、日本の企業で問題なのは、末端のサプライヤーのセキュリティに関して、どの部門が責任を持つべきかが定まっていないことです。これは、経済安全保障への対応という意味でも、サイバーリスクに備えるという点でも非常に危ういことで、サプライチェーンの頂点に位置する企業は、セキュリティリスクに対する認識を改めて、全サプライヤーに対するガバナンスの体制を整える必要があります」
また、経済安全保障への対応という観点からサプライチェーンのセキュリティリスクを考えた場合、「技術のコンプライアンス性などを、収集した数多くの情報から検証する能力(インテリジェンス)や、各国の法規制や規格に対応する能力なども必要とされるはずです」と、モデレーターの中谷昇氏は指摘し、その点に関する見解をパネリストに求めた。
このうちのインテリジェンスについて、三角氏は次のように答える。
「例えば、イギリスでは、経済安全保障にかかわるものも含めて暗号をはじめインテリジェンスに関する情報を政府が保有していますが、日本では技術的な情報の管理は民間企業が担ってきたかたちです。日本の民間企業では1980年代から2000年代にかけて先端技術を数多く持っていたので、技術を管理するノウハウがかなり蓄積されています。ただし、これからは、そのノウハウと、サイバーセキュリティに関するノウハウを融合させていくことが政策的には重要だと見ています」

また、各国の法規制や規格(スタンダード)への対応能力に関しては、園田氏が次のような持論を展開した。
「各国の法規制や規格に順ずるうえで大切なのは、サプライチェーン上で法規制や規格への違反が発生したときに、それをしっかりと検知する能力です。日本の企業はその能力開発や技術研究がまだまだ足りていないように感じます。これからは、そうした検知能力を産業全体・社会全体で備える必要がありますし、例えば、スポーツの世界で言う『ドーピング検査』のような仕組みを、社会の制度、あるいは自社のサプライチェーンや製品を検査する制度として取り入れる必要が出てくるかもしれません。そうした社会や企業の中で活躍できるセキュリティ人材を育てていく必要性を強く感じています」
“オールジャパンアプローチ”で
時代の変化に対応する
以上のように、経済安全保障とサプライチェーンのセキュリティリスクの管理を巡っては数々の課題がある。それを踏まえつつ、國分氏は経済安全保障に企業が対応するうえでの要点を次のようにまとめる。
「各国の経済安全保障政策は、今後も目まぐるしく変化していき、さまざまな基準やルールが打ち出されるはずです。より重要になるのは、経済安全保障政策は得てして非合理的な要請に向き合うことが求められ、しかも規制になる前に先手を打つ形で準拠することが競争優位に直結するという認識を持つことです」
また、清水は、セキュリティベンダとして経済安全保障にどう対応していくかの方針を示す。
「トレンドマイクロでは新組織の『Cybersecurity Center of Excellence(CoE)』を通じて、経済安全保障に対応していくためのノウハウやインテリジェンスを蓄積・体系化し、お客さまに提供していく計画です。ただし、当社一社の力だけでグローバルサプライチェーンのセキュリティ問題が解決できるとは考えていません。日本の政府や関係機関、他社と密接に連携しながら、叡智を結集して社会全体・産業全体に貢献していきたいと願っています」
この言葉を受けたかたちで、中谷氏はディスカッションの最後をこう締めくくった。
「経済安全保障の問題やグローバルサプライチェーンのセキュリティは、一社の力で解決できるようなものではなく、物事を大きくとらえることが必要です。ただし、大きくとらえすぎで、解決に多くの時間を要するのでは意味はありません。産学官の連携はもとより、異なる産業が一致協力しながら、できるところから一つずつ、スピーディに解決を図り、スケールさせていく──。そうした“オールジャパンアプローチ”が求められているのでないでしょうか」
更新日:2022年5月9日

Security GO新着記事
FedRAMPとは?~制度の概要と認証までのプロセスを解説~
(2025年2月6日)
なぜ組織の脆弱性管理は難しいのか?~CISAの2023年悪用脆弱性トップ15から考える~
(2025年2月4日)
IoT機器のセキュリティラベリング制度「JC-STAR」とは何か
(2025年2月3日)