この記事の内容
企業の成長や社会の発展を語るとき、強調されるのは「技術革新」や「競争力」ですが、インターネットの歴史から見れば、重要なのは「標準化」と「協調」です。協調から生まれるつながりは、単なる技術的な接続ではありません。異なる業界、官と民、さらには国境を越えた連携が、社会全体の強靭性(レジリエンス)を高め、新しい市場を生み出す原動力となります。
学生時代に初めてつくったインターネットは、“自分たちのためのネットワーク”でした。1984年に学生として構築したJUNET(Japan University Network)は、東京大学、東京工業大学、そして慶應義塾大学をつなぐコンピュータネットワークであり、自分たちでつくったプロトコルが社会に役立つことを示したくてつくったものでした。
それが40年経ち、すべての人のため、世界のためのものへと進化しましたが、中心にあるのは「つながりの力」であるという点は変わりません。
そして今、クリティカルインフラがインターネットでつながったことで、サイバーセキュリティのゴールはシステムを守るだけでなく、安全な社会をつくることにあります。その未来は、つながる企業、つながる社会、そしてつながる世界によって形づくられます。鍵となるのは、標準化と協調です。
つながることが命を救う
社会のデジタル化が進み、アナログとデジタル、すなわちOTとITが接続されましたが、その接続がシームレスで安全なものでないと、つなぎ目の部分に脆弱性が生じます。
2024年1月2日、羽田空港で着陸したJALのエアバス機と海上保安庁の輸送機が衝突する事故が起きました。システムは海保機の滑走路侵入を検知していたのに、管制塔がこれに気づかなかったというヒューマンエラーによるものです。これはまさに OT(Operational Technology) と IT のつなぎ目におけるほころびで、管制官のような熟練の名人たちが担ってきたOTの世界とデジタルが一体化する中、どう安全を守っていくかがサイバーセキュリティの焦点となってきています。
脆弱性は、IT と OT がそもそも異なる前提で設計されてきたことから生まれます。アナログでの運営を前提に、安全性・安定性・長寿命を重視して構築されてきたOTが、急速に進化するITと接続され、新しいインターフェースや更新が次々加わっていくことで、攻撃者に狙われるセキュリティホールがあちこちに生まれるのです。
医療分野は、連携の重要性を象徴する領域です。国連は「2030年までに世界中の病院をインターネットでつなぐ」1という目標を掲げています。しかし、病院はセキュリティリスクを恐れ、ネットワーク接続を避ける傾向にあるのが現実です。古いOS(XPなど)が稼働し続ける現場もめずらしくありません。この「隔離」は一見安全に見えますが、実は危険です。医師が利便性を求めて非公式に接続すれば、セキュリティホールが生まれます。正面からDXに取り組み、専門家が病院のセキュリティを設計するほうが、はるかに安全で効率的です。医療データが適切に共有されれば、AI 診断や創薬研究が進み、"メディカル・インクルージョン"――世界規模で医療を共有できる未来が実現します。
医療のように、つながることに危機感を抱く業界もあります。発電もコアの部分へのサイバー攻撃や事故を恐れて隔離したセグメントを持っています。しかし、AI活用を視野に入れれば、いつまでも閉じた環境ではいられません。
エネルギーシステムも同様です。長年安全に運用されてきた OT が、デジタルプラットフォームや AI、クラウド分析と接続されるようになり、近年の国際的な紛争では電力インフラへの攻撃が相次ぎ、IT化されたOTがどれほど脆弱かが、浮き彫りになりました。そもそも、コンピューターもインターネットも電力がなければ全く動きません。こうした背景から、日本は「ワット・ビット連携官民懇談会」 2を立ち上げ、電力インフラと通信インフラの連携を強化し、エネルギーとデジタル基盤の相互運用の標準化を進めています。OT と IT を隔離するのではなく、そのインターフェースを標準化することで安全に連携させる取り組みです。
だからこそ必要なのは、孤立した防御から「共有された防御」への転換です。共通の標準や仕組みをともにつくることで初めて、より強靭な安全性が実現します。
未来は、つながる企業、つながる社会、そしてつながる世界によって形づくられます。 鍵となるのは、標準化と協調です。
標準化のための横断連携こそが重要な経営課題
標準化とは、共通なものを共有すること。そしてそのためのルールをつくることです。「ルール」とは規制ではなく、交換可能にするための仕組みづくりを指します。たとえばデータをどの形式にすれば相互にやりとりがしやすいのか。こうした取り決めがなければ、技術はつながらず、社会全体の力になりません。
データの品質にも標準化が重要です。データの粒度(Granularity)は、結果の信頼性を左右します。
私が取り組んでいる研究のひとつに、医療機器の標準化があります。手術室で起こったことを秒単位で正確に記録するタイムスタンプは、事故の検証や安全な運営の検討に不可欠です3。このような標準化があって初めて、AIも専門領域での力を発揮します。世界から広くデータを集めてくる生成AIには嘘をついたり間違えたりすることがありますが、精度の高い、ドメインに特化したデータを使えば、AIは極めて高品質な判断を行うことが知られています。
たとえば電力は、発電、送電、消費の各段階でコンピューターのない時代から運用し、長年の知見が蓄積されています。OT領域にあったこれらがデジタル化、標準化され、データとして扱われることで、エネルギー分野の高度なインテリジェンスが生まれます。そのためには、エネルギーに関するすべての産業が同じ船に乗り、標準化について議論を進めなければなりません。脱炭素化や再生可能エネルギーの普及、AI による需給最適化といった課題は、単独の企業や業界では解決できないからです。標準化によってデータや仕組みを共有すれば、電力・輸送・サプライチェーンが横につながり、効率化だけでなく、新しいサービスやビジネスモデルの創出につながります。
標準化には潜在的なデメリットもあります。過度な標準化はイノベーションを阻害したり、特定企業によるプラットフォームの独占を招く可能性があります。しかし、技術は常に進化するため、寡占的な標準は長続きしない傾向があります。歴史的にも、VHS や Windows の事例が示すように、閉じた標準はやがてオープンな技術や新しいプラットフォームに取って代わられています。
責任ある使い方として「善用」が発展することで、悪用は圧縮することができる。日本の品質管理や安全性へのこだわりは、このようなデジタル社会の倫理に活かすことができると考えています。
標準化はコストを大きく下げる
標準化の最大の価値は、コスト構造を根本から変える力にあるともいえます。標準化された技術や仕組みを使えば、CapEX(資本的支出)もOpEX(運用費)も大きく下がり、結果としてTCOが急速に低減します 4 。この変化は、新しい挑戦へのハードルを劇的に下げます。個別最適なシステムをそれぞれ構築する手間がなくなり、同じ基盤の上で価値創出に集中できるからです5。
この変化は、新しい挑戦へのハードルを劇的に下げます。たとえばクラウドコンピューティングは計算処理を共有する技術であり、サービス内容の標準化とインターネットに対するオープンなインターフェースの提供によって成立しており、米国NISTはガイドライン「SP800-145」の中で、クラウド標準化の枠組みを示しました。クラウドの普及により、企業はITリソースの「所有」から「利用」へシフトし、結果としてOpExの最適化やスタートアップの急増が進んでいます。
自動車産業で考えてみましょう。インターネット以前、100万人にサービスを届けるためには、全国の町ごとにディーラー網を整備し、工場を建設し、100万台の車両を生産するための巨大な設備投資が必要でした。さらにそれらを維持・運営し続ける人員、物流、在庫管理といった継続的な運用コストも発生します。しかしインターネット登場後の現在は、中学生がつくったサービスが、ほぼゼロに近いCapEXとOpEXで100万人規模どころかそれ以上のものに到達することもめずらしくありません。
今や「規模=設備投資」ではなく、「規模=知恵と設計」が競争の本質です。古いシステムの維持のほうが、コストがかかることも多々ある。
サイバーセキュリティも同様です。企業ごとに独自の防御を構築すれば膨大なコストがかかりますが、標準技術を採用すれば全体の安全性が高まり、コストも削減できます。個別のセキュリティは高コストかつ効果が低い。共通プロトコル・共通技術・情報共有体制によって初めて「安全性と低コスト」が両立できます。標準化は集合的防御を可能にし、予測可能なコスト構造をつくり、最も高コストな「孤立防御」から組織を解放します。
各企業が同じセキュリティ対策を一から作り直していては、コストは増大し、レジリエンスは弱まってしまう。標準化は単なる技術論ではなく、コスト構造を抜本的に変えるための経営課題として位置づけられるものです。
CISOの新たな役割と“善用”の重要性
セキュリティを担う人材の負担は、大幅に増えています。かつてのCISOはサイバー攻撃や不正に対応すればよかったのが、上記のようなサービス品質や倫理、さらには人命までその腕にかかるようになりました。事業責任はCISOにかかるようになり、今や CISO は、単なる技術責任者ではなく、企業の信頼性とサービス継続性を背負う経営レベルの存在です。これからの企業経営においては、CIOやCISOのようなセキュリティやITの専門家が経営の中枢に置かれて、CEOと同等の報酬と権限を行使するようになるか、またはCEOがサイバーセキュリティやリスク管理の専門的な知識や経験を持つようになることが必須となってくるかもしれません。
また、技術には必ず「悪用(abuse)」のリスクがあります。今あちこちで起きているランサムウェア攻撃などがそうです。サイバーセキュリティはまず技術で止める、法律で防御するが一番ですが、「善用」――善い使い方を広めることもひとつの手段です。責任ある使い方として「善用」が発展することで、悪用は圧縮することができる。日本の品質管理や安全性へのこだわりは、このようなデジタル社会の倫理に活かすことができると考えています。
つながることがレジリエンスにつながる
レジリエンスとは、何かが起こったときにリカバーすることですが、その基本はつながることにあります。インターネットは複雑な接続性を持っていれば、どこかが切れてもそれを迂回してつながっていくということができます。地震、台風、豪雨――災害大国である日本において、私たちは亡くなった人たちをどうするのか、服薬が常時必要な被災者がどこにいるか特定し、どう医薬品を届けるかなど、知見を積み重ねてきました。どこで何が必要かがだんだんわかるようになってきて、救われる命も非常に多くなってきた。しかし横につながったクリティカルインフラは、他が補完できる仕組みがなければ、社会が麻痺します。
インフラが相互依存的に接続される時代では、ひとつが止まったときに他の事業者が補完できる標準化された仕組みがなければ、連携は脆弱性に変わります。つながりは強靭性を生む一方で、標準がなければ依存が“弱点”へと変わりうるのです。
2024年1月の能登半島地震のとき、庁舎やネットワークが被害を受け、自治体が管理していた住民基本台帳ネットワークを使った事務処理が困難な状況に陥り、住民票データの参照や広域交付に影響が出ました。たとえばこれが東京で代わりに発行できていたらどうでしょう。もっといえば、シドニーと東京でデータを交換して保管しておけたらどうでしょうか。もし日本の権限で、オーストラリアを拠点に世界の病院からアクセスできるようすれば、海外滞在中に病気になっても安心です。こうした仕組みがなければ、相互接続は肝心な瞬間に崩壊してしまうのです。
レジリエンスは単なるリスク対応ではなく、成長戦略の中核。そして最も重要なことは、After Internetの世界では、どんなに事業範囲が限定的で局所的重要な使命と守備範囲がある経営でも、地球規模での意味や意義、人に対するインパクトと責任を積極的に考えながら取り組むべきであるということです。
- United Nations - Achieving universal connectivity by 2030
- Watt-Bit Public-Private Council (METI)
- Goldman, J. M. (2011) Medical Device Interoperability: The Case for a Medical Device Data Language
- Carl Shapiro & Hal R. Varian (1999) Information Rules: A Strategic Guide to The Network Economy, Harvard Business Press
- OECD (2016) The Economic and Social Benefits of Internet Openness
詳しいお問い合わせはメールにて承っております
