全7883文字
あらゆる技術が軍民両用となり、安全保障の対象になっていく(写真:USA TODAY Sports/ロイター/アフロ)

日本人になじみの薄い米国の制度が、日本企業から競争力を奪いかねない。セキュリティークリアランス(SC)制度だ。もともとは軍事を中心とする安全保障に関わる機密情報へのアクセスを、限られた人だけに許可する仕組みだった。米政府は今、この制度で管理する情報を、産業競争力に資する情報に拡大している。自社製品が抱える脆弱性の情報を、自社が知らないうちに、SCを保有する競合の技術者が共有している可能性がある。この情報劣位をくつがえすための制度設計は喫緊の課題だ。多摩大学ルール形成戦略研究所の國分俊史所長に聞いた。

(聞き手 森 永輔)

國分さんは、日本にセキュリティークリアランス制度がないことが、日本企業の製品開発力に負の影響を与えかねないと懸念されています。セキュリティークリアランスとはどのような制度ですか。

國分:機密情報の漏洩を防ぐべく、機密情報へのアクセスを、これを悪用しない人物に限定するために政府が運用する信用資格制度です。保護すべき情報を政府が指定するとともに、アクセスできる人の信用を評価し承認する。

國分俊史(こくぶん・としふみ)
多摩大学大学院教授。同大ルール形成戦略研究所所長。専門は、安全保障経済政策を起点とするルール形成戦略。早稲田大学大学院公共経営研究科修了。A.T.カーニーのプリンシパルや米系会計ファームのバイスプレジデントパートナーを歴任。ルール形成戦略議員連盟のアドバイザーを務める。主著に『エコノミック・ステイトクラフト 経済安全保障の戦い』など。(写真:加藤 康)

 もともとは、安全保障を中心とする機密情報(CI、Classified Information)だけが対象でしたが、米政府はこの範囲を、政府が生成するCUI(Controlled Unclassified Information=機密情報ではないけれども管理が必要な情報)や民間が生成する情報をCUI指定し、それらにも適用範囲を広げつつあります。バラク・オバマ大統領(当時)が2010年、米国の産業競争力に資する情報をCUIとして各省が指定するよう大統領令を発令しました。

 このCUI中に、日本の民間企業が製品開発を進めるのに欠かせない情報が存在します。日本企業は、日本にセキュリティークリアランス制度がないため、これらの情報にアクセスすることができず、不利な状態に陥る可能性があるのです。いや、もう陥っているかもしれません。

自社の知らない脆弱性と攻撃方法が共有されている

日本が注目しなければならないのは、米国のセキュリティークリアランス制度ですね。製品開発に不可欠の情報とはどんなものですか。

國分:典型は、米国立標準技術研究所(NIST)が運営するNVD(National Vulnerability Database)です。IoT(モノのインターネット)製品の脆弱性に関する情報を登録するデータベース。例えば、ある製品にどのようなセキュリティーホールが存在するかと、それを発見した手段(攻撃プログラムコード)がセットで登録されています。

 セキュリティーホールの存在については、セキュリティーパッチが開発された後、公開して誰でもアクセスできるようにします。パッチの適用を促す目的です。問題は、このNVDに格納されている情報のうち、パッチが開発されるまでの「ゼロデイ情報」に限り、セキュリティークリアランス保有者でないとアクセスすることができないことです。攻撃プログラムコードについては、パッチが開発された後も、セキュリティークリアランス保有者だけにアクセスが限定されます。

 例えば日本の自動車会社が開発した自動運転車にどんなセキュリティーホールが存在するか、その攻撃方法とともにNVDに登録されます。しかも、このゼロデイ情報は、日本企業が知らない間に登録されるし、日本企業の開発者やメンテナンス担当者は見ることができません。日本にはセキュリティークリアランス制度が存在せず、セキュリティークリアランス保有者がいないからです。他方で、競合となる米テスラで働くセキュリティークリアランス保有者は、日本企業のセキュリティーホール情報を逐一入手している。