10月にはNISTの上級IT政策顧問としてサイバーセキュリティの国際規格作りをリードしているアダム・セジェウィックを招へいし、米国でのルール形成の方針を講演いただいた。

そこで明らかになったのは、企業が利用するシステムは原則クラウド化させていくということだ。それも、アメリカ政府がクラウドの調達に際して基準として用いているFedRAMP(Federal Risk and Authorization Management Program)というセキュリティ認証を国際標準とし、この技術パッケージの利用を世界のルールにしていくという。

NISTIR 7904という公開文書にも記載されているが、アメリカでは、これからのクラウドはジオロケーションテクノロジーという概念に基づき、自社のデータがどこのサーバの、どのCPUおよびディスクで処理されているのかを常にリアルタイムでトラッキングできることを要件にするとしている。

つまり、社内システムのクラウドはもちろん、そのクラウドはデータの所在が分かるデータセンターで運用されるものでなければならない。日本のITベンダーが提供しているクラウドは、これに未対応だ。

これ以外にも日本にとって衝撃的なのがIoT製品に組み込むセキュリティ技術の国際標準作りだ。セジェウィックいわく日本のセキュリティに対する考え方は、「破られないようにする」ところで思考が止まっている。

これからの技術体系は「1. 特定、2. 防御、3. 検知、4. 対応、5. 復旧」という5つの機能が盛り込まれていることを必須にすべきであり、この体系に照らして機能に漏れがあった場合はセキュリティの標準を満たさない。