情報漏えいを防ぐために国産のクラウドサービス開発は急務

TOYA未来情報研究所代表 藤谷 昌敏 氏

2022年5月11日に成立した経済安全保障推進法では、現代の情報基盤というべきクラウドサービスが、その重要な対象に定められた。さらに同年12月には、経済安全保障を確保するための「特定重要物資」の1つとしてもクラウドが指定されている。いまやビジネスシーンはもちろん、私たちの日常生活とも切り離せない存在であるクラウドが、経済安全保障の枠組みに含まれるのは、むしろ必然のなりゆきといえるだろう。藤谷氏は、こうした現状をどう見ているのか。

「政府は危機管理とリスクマネジメントの観点から、機密情報や個人情報が他国企業のサービスを利用することに大きな不信感を抱いています。現在、日本のクラウドサービス市場はアメリカのIT大手3社の寡占状態にあり、日本企業は入り込む余地がありません。政府は、国内事業者によるソフトウエア開発や、設備投資を支援していく動きを見せていますが、なかなか簡単にはいかないでしょう」

藤谷氏が強く懸念するのは、他国のクラウドサービスを利用することで起こる情報漏えいだ。当然のことながら、海外サービスは日本の法規下になく、運用管理も外国企業の掌中にある。このため情報漏えいリスクを管理しづらく、万が一サイバーテロが起きた際にも迅速に対応できない可能性があるからだ。

事実、その懸念を裏づけるように、電力や金融など重要な社会インフラの分野を舞台にしたサイバーテロは世界各地で起きている。これらのソーシャルなシステムを構成する機器やソフトウエア、サービスを経由して引き起こされるインシデントをいかに未然に防ぐかは、いまや国家的、社会的なセキュリティ課題になってきている。

もちろん日本にとっても、対岸の火事では済まされない。そこに危機感を抱いた経済産業省が打ち出したのが、「プライベートクラウド」と「パブリッククラウド」のハイブリッド案である。

大きく分けてクラウドには、利用者を限定した専用回線による「プライベートクラウド」と、さまざまな企業やユーザーがクラウド環境を共有する「パブリッククラウド」がある。政府は3段階ある区分*のうち、防衛装備や外交交渉の資料を含む最高レベルの「機密性3」と、情報が漏えいすると国民の権利を侵害する恐れのある「機密性2」の一部情報を、プライベートとパブリックを組み合わせた「ハイブリッドクラウド」で運用していく方針を定めた。

※2022年「デジタル社会の実現に向けた重点計画」の、政府情報システムにおけるクラウドサービス利用の方針にもとづく機密性の分類

「海外のサービスと連携を図りながらも、機密性の高い重要なデータについては国内のサービスで管理する。私は、この経産省の案に賛成です。しかし、実際にそれだけのものをつくり上げるのに、どれだけのコストがかかるのか、そこが今後の課題となっていくでしょう」

デジタル社会の実現に向けた重点計画 – 総務省より

半導体に見る「戦略的自律性の確保」と「戦略的不可欠性の獲得」

クラウドに加えてもう1つ、日本の経済安全保障政策において欠かせない存在が半導体だという。過去、日本の半導体産業は世界シェアの約5割を占めるほどの隆盛を極めていたが、現在は市場の1割程度まで落ち込んでいる。半導体はデジタルインフラの基幹部品でもあり、COVID-19のパンデミックがもたらした影響を見ても、今後、半導体の安定供給の確保は必須課題といえよう。

「半導体は日本に限らず、世界的に見ても経済安全保障の要であり、この先、最も重要な戦略物資になっていくのは確実です。今、半導体市場は台湾積体電路製造（TSMC）がトップシェアを誇っており、日本も大きく依存しています。それだけに、万が一、台湾有事が起こった際には、供給がストップしてしまう可能性は大きい。半導体は代替することが難しい製品だけに、そうなったときのサプライチェーンに与える影響は計りしれません」

こうした不測の事態への備えとして、日本はTSMCの工場を熊本県に誘致することに決めた。すでに2024年末の稼働を目指して建設中の工場に加え、早くも第２工場の建設計画も発表されている。日本に生産拠点を置くことには、より安定した供給体制の確立はもちろん、台湾側にとっても有事の際に輸出が止まってしまう危険を回避するといった意味がある。日本と台湾双方にとってのリスクヘッジの思惑が、こうした積極的な取り組みの背景にあるといえる。

「TSMCの工場が熊本にあれば、有事の際もある程度の供給は補えると予測できます。しかし、工場の誘致には莫大なコストがかかっていますし、そこにこれまで補助金をあまり出してこなかった日本が、どれだけの血税を割けるのか。机上の計画で終わらせないためにも、うまく折り合いをつけていく必要があるでしょう」

さらに藤谷氏は、日本の経済安全保障の目的として、「戦略的自律性の確保」と「戦略的不可欠性の獲得」を挙げる。「戦略的自律性」とは、いかなる状況下においても他国に過度に依存することなく、国民生活や正常な経済運営を実現すること。もう1つの「戦略的不可欠性」とは、国際社会の産業構造の中で、日本の存在が不可欠とされる分野を戦略的に拡大していくことだ。クラウドや半導体は、まさにその中心となる分野として考えていくべきだろう。「これらの目的を達成することが、長期的かつ持続的な国家の安全保障を確保することにつながっていくと、私は考えています」と藤谷氏は強調する。

日本の経済安全保障の目的（取材時資料より）

日本が目指すべき”新しい”経済安全保障の在り方とは？

今後の展望として藤谷氏は、2023年は、さらに経済安全保障の推進に向けた体制整備が進んでいくと語る。その際に重要になるポイントが、「リスクの点検と評価」だ。特に基幹インフラ（社会基盤）を対象とした事前審査は、避けては通れないものになってくるという。

基幹インフラ（社会基盤）整備の事前審査（取材時資料より）

「電力や放送といった基幹産業は、何かアクシデントが起きてからでは取り返しのつかない被害が出てしまいます。それを未然に防ぐためにも、重要機器やシステムに安全保障上の脅威となり得る外国製品が用いられていないかどうか、あるいは業務委託先が適切かどうかといったことを、あらかじめ調べておく必要があります。経済安全保障推進法では、特に重要なシステムを導入する際には、『導入計画書』の届出を義務づけ、政府が審査する仕組みを採用する方向で進んでいます」

具体的な例として、セキュリティ面を考慮すると、中国製の部品を組み込んだ製品は今後アメリカが受け入れなくなる可能性が高く、中国一本に頼ったビジネスは難しくなってくると藤谷氏は見ている。つまり、日本の企業としては、サプライチェーンの多角化を目指す必要があるわけだ。

「経済安全保障推進法には制約や規制、さらには罰則も含まれており、どうしても保守的になりがちです。しかし、一方では、補助金や資金援助を受けることも可能であり、新たなビジネスチャンスを手にすることもできるでしょう。欧米のセキュリティに合格すれば、ビジネスが大きく拡大していくことは間違いありません」

そして、これからの経済安全保障を見据えたときに、藤谷氏が強く推奨するのがセキュリティクリアランスの早期導入だ。セキュリティクリアランスとは、機密情報へのアクセスを一部の政府職員や民間の研究者・技術者に限定する仕組みを指す。例えばAIや量子技術といった最先端技術にタッチできる関係者にのみ権限を付与することで、機密情報へアクセスできる人間を限定し、それらの情報が国外に流出することを防ぐ狙いがある。

「本来、セキュリティクリアランスは経済安全保障推進法に組み込まれるべきですが、反対論が強く見送ることになってしまいました。セキュリティクリアランスの問題をクリアしなければ、今後、日本人研究者が他国の研究者との共同研究をできなくなってしまいます。技術の流出や漏えいを防ぐためにも、私はできるだけ早期に、セキュリティクリアランスの導入に踏み切るべきだと考えます」

最後に藤谷氏は、インテリジェンスの必要性についても語ってくれた。インテリジェンスとはいわゆる諜報活動のことである。言葉だけを聞くと、いささかきな臭いもののようにも思えるが、決してそんなことはない。経済安全保障を確実に担保するには、対外インテリジェンス機関の設立が必須だと語る。

「サイバーテロが世界的に横行している状況下では、インテリジェンス活動はどの国も行っていることです。もちろん、相手の権利や人権を侵害してはなりませんが、今よりもさらに感度を高く、世界に向けてアンテナを張っておくことが、経済安全保障をより確かなものにし、自らを守ることにつながっていくと私は考えています」