セキュアなIoTインフラが生み出す新たなビジネスチャンス(前編)―「次世代ビジネスを牽引するテクノロジー最前線」
KPMG×先進技術をビジネスに取り入れるイノベーション企業対談/CollaboGate Japan株式会社代表取締役CEOの三井正義氏をお招きし、セキュアなIoTインフラの有用性と可能性についてお話を伺いました。
CollaboGate Japan株式会社代表取締役CEOの三井正義氏をお招きし、セキュアなIoTインフラの有用性と可能性についてお話を伺いました。
世界でおよそ300億台が接続されているとされるIoTデバイス。さまざまなセンサーを用い、現実世界の情報をリアルタイムにデジタル化して活用するエッジコンピューティングが発展しています。その一方で、データ漏えい・改竄、不正アクセスなどの脆弱性が生じやすく、サイバー攻撃や不正アクセス事案が後を絶ちません。この課題を解決し、デジタル社会がさらに発展していくには、データの信頼性を担保することが不可欠です。
データの正確性・機密性・信頼性を守りながらデータ活用を進めるために社会がどう変わっていくべきか。今回は、自由かつ安全なデータ運用基盤の整備に必要なソリューションを開発するCollaboGate Japan株式会社代表取締役CEOの三井正義氏をお招きし、KPMGコンサルティングの関克彦、一原盛悟、保坂範和、KPMGアドバイザリーライトハウスの松尾英胤がお話を伺いました。
前編は、CollaboGate Japanの目指す世界とはどのようなものなのか、その世界を実現するボトルネックは何か。KPMGコンサルティングのクライアントが抱える課題も含めて、セキュアなIoTインフラの有用性と可能性を探ります。
対談者
1.「つながる」ことで解決できる社会課題
松尾:昨今、多種多様な大量のIoTデバイスが我々を取り巻くビジネスに深く絡み合うようになり、不可欠な存在となっています。一方、それに伴い、データ漏えいや改ざん、不正アクセスなどのセキュリティ対策の重要性も増していますが、CollaboGate Japanを設立された経緯を交えて、三井さんのお考えを教えてください。
三井氏: 2035年までに累計1兆個の計算機(計算能力のあるデバイス)がインターネットにつながると言われています。それをイメージした時に、「企業はどのような方法で安全に1兆個ものデバイスをインターネットにつなぐのだろう」と疑問を持ちました。人類はかつてこうした問題を、TCP/IPやTLSといった通信プロトコルを作り、それを誰もが利用できるようにすることで解決してきました。同様のアプローチで、モノがつながる世界に必要なプロトコルを作ってみんなが使えるようにしたい。これがモチベーションとなり、CollaboGate Japanを創業しました。私たちは「モノをつなぐ新しいウェブの標準規格を作ってみんなで使おう」ということに取り組んでいる会社で、日本では少し珍しい事業をしています。
私はもともと物理や数学を学び、大学院ではロボットの制作を含む、モノとコンピュータサイエンスの領域を研究していました。特に、分散コンピューティングや分散アルゴリズム1に関心を持ち、2016年頃からブロックチェーンや分散型台帳技術(Distributed Ledger Technology:DLT)2に関する研究に没頭していきました。そのなかで、分散型識別子(Decentralized Identifier: DID)3という技術仕様に出会い、この周辺技術を利用することで、デバイスが安全かつ信頼できるデータ通信ができるのではないかと考えました。当時、この分散型ID技術は、人の識別や認証にデジタルパスポートのように利用されることが多く、デバイスの識別や認証に応用される事例は非常に少なかったです。製造業が強い日本にも、デバイスを安全に識別・認証するためのウェブの仕組みはまだありませんでした。そこで、デバイスをどのように安全にインターネットにつなげるかという課題を解決するために、この会社を設立しました。現在、NodeX4という分散型IDを活用したIoTデータセキュリティソリューションを提供しています。デバイスやクラウド上にある計算機のことを「ノード」と呼びますが、NodeXという名称には「ノードをつないでいく」という意味を込めています。NodeXを通じて、さまざまな産業のデバイスを安全にインターネットにつなぎ、データを活用した新しいサービス創出や社会課題解決を目的として事業展開しています。
CollaboGate Japan株式会社
三井 正義 氏
松尾:分散型ID技術で実現したい世界観とは、具体的にはどのようなものなのでしょうか。
三井氏:世の中のまだ解決されていない課題を、フィジカルな世界のデータを活用して解決していきたいと考えています。フィジカルとサイバーを適切に「つなぎ」、未活用なデータを安全かつ自由に流通させることで、経済成長のみならず、医療、エネルギー、サプライチェーンといった分野で、人々が直面している社会課題を解決できる可能性があります。人類を少しでも前に進めることができるならば、これは人生を賭けるに値するテーマだと思っています。
松尾:具体的には、どのようなプロジェクトに取り組んでいますか。
三井氏:現在、特に強い関心を持っているのがエネルギーの問題です。2030年頃には地球上の電力消費の約10%がデータセンターに費やされる可能性があるようで、この課題に取り組むインパクトはとても大きいと感じています。データセンターの需要が高まるなか、その消費電力も甚大であるため、サステナビリティの観点から有効な解決策が必要とされています。現在、複数のお客様とデータセンターの機器データを活用するプロジェクトに取り組んでいます。
また、多くのメーカーでは、非常に高度な製品が作られているにもかかわらず、その運用保守のオペレーションが旧来の手法にとどまり、依然として非効率であるケースが多く見られます。例えば、機械の停止を防ぐために人員を常駐させたり、機械が停止した際には人が呼び出されたりといった状況です。しかし、こうしたオペレーションの多くは、製品の利用状況などのデータを活用することで解決可能であり、人手不足が深刻化している今こそ、対処すべきだと考えています。
株式会社 KPMGアドバイザリーライトハウス
松尾 英胤
2.課題解決を阻む文化と技術の障壁
松尾:データを収集して、そこからインサイトを得て、社会課題を解決する。企業も含めて数多の人が考えていますが、なかなか実現できないことも多いです。三井さんは、技術的な観点も含めてどこにボトルネックがあるとお考えでしょうか。
三井氏:オペレーショナルテクノロジー(OT)とITのカルチャーの違いです。OTは工場などの物理的な設備やプロセスの制御に特化した技術で、製造部門が管理していますが、ITは通信やデータ処理に特化した技術で、情報システム部門が管理しています。また、OTはクローズドな環境、ITはオープンな環境で使用されることもあり、OTとITとではモノを作る計画の仕方や開発の順序などがまったく違うのです。そのため、メーカーのなかでもモノ作り側とIT担当者とで分断があり、調整に苦労が生じています。
技術的な分野でも、考え方の違いがボトルネックになっている場合があります。たとえば、セキュリティはコネクティッドデバイスだけでなく、数あるレイヤーのすべてを包括的に考慮しなければ解決できません。ですから、本来はOTもITも一体となって取り組まなければならないのですが、互いの理解が乏しく、協力がうまく進まないのです。事業が停止するほどのビジネスリスクがあるにもかかわらず、社内のケイパビリティだけでは各レイヤーで多層的に取り組むことができない。なすべきことがわかっているけれども、実行できない。それがボトルネックになっている印象です。私たちはこの技術課題を解決するテクノロジーやソリューションを提供しますが、テクノロジーだけでは必ずしも十分ではなく、ガバナンスなども総合的に含めて取り組んでいくべきだと考えています。
松尾:OTとITの関係の必要性は10年以上前から議論されていますが、実際のコンサルティングの現場ではどのような状況でしょうか。
一原:OTとITの分断は、やはり今でもあります。データを使ってどのようなビジネスをするのかを両者が別々に考えている状態であるため、何か問題が起こった時に原因追及までに時間が要してしまうのが現状です。喫緊の課題として認識されてはいますが、取組みは進展していないようです。なぜなら、企業のなかでITについては、IT部門が職責を担い、OTについては、製造部門や管理部門が職責を担っていることがあり、ITとOTの両方まとめて所管するケースは少なく、相互の認識合わせに時間を要しています。
保坂:KPMGが定期的に実施しているグローバルのサイバーセキュリティ調査5によると、OTに対するサイバー攻撃で増えてきているのがクラウドや無線ネットワークへの攻撃です。逆に、USBデバイス経由など直接インターネットにつながっていないクローズドネットワークを想定した直接攻撃は減っています。これはグローバルの調査結果ですが、日本も同じ傾向にあります。
こうした調査結果は、ITとOTが少しずつ融合してきていることに起因しています。セキュリティの観点からは、ITとOTは分離すべきですが、データの利活用を進めようとしている上では、それだけを単純に求めることはできません。一方、経営層が心配しているのは「クローズドだった工場を、DXの名のもと、ネットワークにつないで本当に安全なのか」という点です。OTとITの融合は進みながらも、経営層の課題としてセキュリティが残っている印象です。
KPMGコンサルティング株式会社
一原 盛悟
三井氏:そこで啓発したいのは、ネットワークを信頼しないという前提で構築するゼロトラストアーキテクチャ6への移行です。「クローズドネットワークが安心」というのはもはや幻想です。近年もいくつかのサイバー攻撃被害が発生していますが、その原因の1つにVPNの認証情報の漏えいがあります。組織内で運用されるプライベートネットワークは、一度侵入を許してしまうと、内部の脅威に対してものすごく脆弱なのです。
工場のような大規模かつ広範囲にわたるプライベートネットワークを1つのVPNやポリシーで管理していくのはまったく現実的ではなく、非常に複雑なネットワーク構成と高度な認証情報の管理が必要になります。つまり脆弱性のコントロールが非常に難しい仕組みに投資を続ける必要があります。アメリカでは、2010年頃からゼロトラストアーキテクチャへの移行が提唱されています。欧米ではすでにそのような認識が広まり抜本的な変革がスタートしているにもかかわらず、日本では「危ないからネットワークにつながない」「クローズドネットワークを維持すべき」と、情勢に見合わない投資が続けられている。私としては、1日でも早くゼロトラストへ移行すべきだと考えています。
KPMGコンサルティング株式会社
保坂 範和
3.データを使って何を実現するのか
関:社会課題を解決していく1つの要素としてデータは重要ですが、そのためにはデバイスが効率的よく安全につながってこそ、データの適切な収集が実現できると考えます。今後、接続されるデバイスの数が飛躍的に増えていくことを考えると、今の仕組みでは限界があり、変えていかなければならないということですね。
三井氏:そのとおりです。どうしても、なりすましなどの脅威は常に存在しますが、デバイスの真正性、認証などを確保していくためのウェブやインフラの仕組みは依然として不十分です。この部分を改善していかなければ、誰もが安全にデバイスをつないでデータを活用する世界にはなりません。
関:その技術課題を解きつつ、先述のOTとITの関係のように、つながることにより直接的にメリットを得られる側と、その先の未来の成果からメリットを得られる側の相互理解を促進させることが重要ですね。「なぜ必要なのか」という問いに対し、「直接的な必要性にとどまらず、間接的かつ将来的な観点から必要なのだ」と意義を訴求していく。時間軸や見ている対象がずれている部分を少しずつ埋めながら、関係者の理解を得ていく。
KPMGコンサルティング株式会社
関 克彦
三井氏:そのとおりです。近年、プロダクトの価値の定義が変わってきおり、機能性や価格に基づいていた従来の価値観から、今はそのモノを使うユーザーの体験、すなわち「なぜ、このモノを使うのか」になってきています。メーカーは、そこを価値としてポートフォリオに含めなければ、市場に参入することができなくなるでしょう。そうなると、最終的には製品のデータをどうやって集めて活用するかに行きつきます。
そこで、まずはプロダクトを作っているメーカーがデータを集めて、直線的にビジネスを大きくしたり、お客様により良いパーソナライズされた体験を提供したりしていくというところから始め、それから副次的に社会全体へ価値を波及させていくことになります。プロダクトを作っているメーカーの多くは直接的に価値を得やすい立場にありますが、一方で、社会全体まで引いて考えると、社会問題をどうやって解決するかという社会全体のガバナンスや、これをトラストとしてみんなで信じる仕組み、標準化などを含めて総合的に考えていかなければなりません。一社単独での解決は非常に難しいため、さまざまな団体や企業が国境を超えて協力し、新しいウェブの仕組みやガバナンスを作ろうとしています。
関:確かに、近年はカスタマーエクスペリエンスの重要性がより着目されてきていますからね。それをさらに深堀りしていくことで、まさにデータを活用してその先で実現する世界を見据えた議論につながっていくことが期待できますね。
1 分散コンピューティングはネットワーク上の複数の計算機が同時並行して処理を実行する単一システム。分散アルゴリズムは分散コンピュータ上で動くアルゴリズム。この2つを組み合わせることで、システムの信頼性と効率性が向上する。
2 分散型台帳技術(DLT)は、データを複数のノードに分散して管理する技術。1ヵ所でデータを管理する中央集権型データベースと異なり、中央管理者は存在せず、ユーザー全員でデータを共有する。不正や改ざんが困難で、透明性が高いという特徴がある。また、ブロックチェーンはDLTの1つ。
3 識別子(ID)とは、複数の対象から一意に識別するために用いられる文字列や記号、数字。
4 NodeXはCollaboGate Japan株式会社の登録商標です。
5 (CS)2AI-KPMG「The(CS)2AI-KPMG Control System Cybersecurity Annual Report」
6 デジタル庁「ゼロトラストアーキテクチャ適用方針」では、ゼロトラスト、ゼロトラストアーキテクチャを次のように定義。
ゼロトラスト:境界の内部が侵害されることも想定したうえで、情報システムおよびサービスの要求ごとに適切かつ必要最小の権限でのアクセス制御を行う際に、不確実性を最小限に抑えるように設計された概念。
ゼロトラストアーキテクチャ:ゼロトラストの概念を利用し、クラウド活用や働き方の多様化に対応しながら、政府情報システムのセキュリティリスクを最小化するための論理的構造的な考え方。
参考コンテンツ(外部サイト)
PDF資料は会員限定コンテンツからダウンロードしていただけます。
こちらは「KPMG Japan Insight Plus」会員限定コンテンツです。 会員の方は「ログインして閲覧する」ボタンよりコンテンツをご覧ください。 新規会員登録は「会員登録する」よりお手続きをお願いします。 |
競合他社の方は、登録をご遠慮させていただいております。