orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

なぜ日本のサイバーセキュリティー対策はアメリカ頼みなのか

f:id:orangeitems:20180312174817j:plain

 

セキュリティーの話題

IT業界でセキュリティーを扱おうとすると、必ずと言っていいほどアメリカ資本の商品を使うことになる。情報技術自体はオープンなものなのになぜ、ここまでアメリカ中心となってしまうのか。ハードウェアはまだしもソフトウェアについては日本でもカスタマイズ中心に多くの資金が流れていて、仕事をしている人も多い。IT業界は激務だ、とシステム開発に従事するエンジニアが口々に言っているぐらい、工数としては日本人もかなり使っているはずだ。なのに、なぜセキュリティ周りは日本ベンダーの存在が希薄なのか。日本のセキュリティー企業に話を聞いても、外資か、内資であっても使っている製品は外資のものばかりだ。

この疑問を解消すべく、国家としてサイバーセキュリティー分野にどの程度お金を使っているかを確認したら驚くべき違いとなった。結論から言おう。アメリカの場合は190億ドル(2兆円)。日本の場合は600億円だ。なんと日本はアメリカの33分の1しか予算を計上していないのだ。3%だ。本当なのか。

 

アメリカの場合

この記事の通り、真実だ。

tech.nikkeibp.co.jp

年間で2兆円という規模で、サイバーセキュリティ関連にお金を落とすのだから、セキュリティー分野の企業は相当な開発投資ができるし、人材も確保できる。今年だけ2兆円ということはありえないので、長期的にマーケットも継続するし新製品・新サービスも活発にリリースされるだろう。それだけ、アメリカにとって国を守る根幹に位置づけていることがわかる。インターネットはアメリカにとって国の基盤にまでなっているからこそこれだけの費用をかけてもペイできると判断しているのだろう。

スポンサーリンク

 

日本の場合

アメリカの33分の1である3%の600億というのは本当か。これも真実だ。

scan.netsecurity.ne.jp

しかも、この600億の内訳をみると、いろいろと突っ込みたくなる。次の段で述べていきたい。

 

600億円の内訳

政府の内閣官房にサイバーセキュリティーセンター(NISC)という組織があり、日本においてはこの組織が官民における情報セキュリティー対策の推進を企画・立案している。NISCがまとめた資料に予算の詳細が記載されている。

政府のサイバーセキュリティに関する予算https://www.nisc.go.jp/active/kihon/pdf/yosan2017.pdf

f:id:orangeitems:20180312170835p:plain

 

主な施策を全部足しても600億にまったくならない。ざっくり200億円くらいなので、ほかにもこまごまとして施策が隠れているのだろう。それにしてもだ。個々を見ていくとサイバーセキュリティーとして本当に消費される金額は限られていることがわかる。

 

IPA交付金

一番多い経産省の、「(独)情報処理推進機構(IPA)交付金 45.5億円」に関してだが、これは実は全てセキュリティーに使われるわけではない。IPAはご存じだろうか。あの素晴らしい情報処理技術者試験の運営で有名だろう。そのほかにも、産業サイバーセキュリティーセンターという組織の運営も行っている。経産省配下なので産業界に対するプレゼンスが強い。歴史上経産省は情報処理業界の管轄であったこともあり、予算全体からも経産省への割り振りが多いことがわかる。ただし、IPAはセキュリティーのことばかりやるわけではない。なのに、600億の中にIPAへの交付金全額が計上されているのである。

IPAの予算計画を見ればわかる。

独立行政法人情報処理推進機構 平成29年度計画 https://www.ipa.go.jp/files/000058802.pdf

f:id:orangeitems:20180312171923p:plain

この通り予算計画の値とほぼ一致する。IPAにお金を交付したから、これが全部サイバーセキュリティーで使われますね、というのはいかがなものだろうか。

 

サイバーセキュリティ経済基盤構築事業

経産省の中では次に予算がついているので、何をしているのか調べた。こちらのスライドで説明されていた。

http://www.meti.go.jp/main/yosan/yosan_fy2017/pr/ippan/i_shojo_a_05.pdf

・IPAにサイバーレスキュー隊を設置し、サイバー攻撃に対する個々の企業を支援する。
・JPCERTコーディネーションセンターに委託を行い、他の国のCSIRT期間と連携し、攻撃基盤を共同駆除する。

2つの組織を支援するような形で予算を組んでいる。意図としてはわかるが、23.5億でこのミッションを回すのは至難な業だというのが第一印象だ。日本の企業がどれだけの数あるのか・・。

 

内閣サイバーセキュリティー

こちらは、中核となるべき内閣官房への予算だ。

f:id:orangeitems:20180312173727p:plain

結局のところ、セキュリティー対応は各省庁の縦割りで行われ、かつ経産省がリードしていた状況だったので、これを横串で統括するセキュリティーセンターを内閣官房に持つことは理にかなっていると思う。ただ、この予算を眺めると、「圧倒的に少ない」という感想を持つ。調査、分析、検討が多いのがわかるだろうか。何か防衛のための武器を持つことより、情報共有に終始しているのが日本のサイバーセキュリティーなのだろうと思う。特定の企業に投資し、何らかの産業を生み出すことまで想定していないと思う。

また、各省庁にしても、大企業がセキュリティーに費やしている費用とあまり変わらない予算しか持っていないのがわかる。

 

まとめ

かたや2兆円、かたや0.06兆円だ。アメリカが生み出したセキュリティー防御技術をこの予算で、ベンダーに見積もってもらい買うのが確かに最も生産的だろう。日本の民間は自力で自社のセキュリティーを守らなければいけないかを示す、今回の資料だと思う。国はあくまでも情報共有に留め、対策は各省庁や民間に指示し、自前で対応する。この構造のうちはセキュリティー分野において日本が他国を排し独立することはありえないな、と思った今回の記事でした。