——米政府はこの難問にどのように立ち向かうべきなのでしょうか?
IoTは迫り来る大革命であり、さまざまな製品が考えられるため、垂直的な視点でものごとを見ていく必要があります。垂直業界のIoT製品としては、インシュリンポンプや血圧モニタといった、インターネット対応医療機器などがより攻撃にさらされやすく、より深刻な結果を引き起こすと考えられます。ネットワークに接続されているがゆえにセキュリティを強固にする必要があるこのような製品を取り扱う業界は、他の業界よりも規制を必要としています。ハッカーが侵入した場合、患者の命に関わってくるためです。
FDAは既にこの問題に取り組んでおり、数週間前にガイドラインを発行し、コードをセキュアにする必要性を具体的に明言しました。これはまだガイドラインであり、必須ではありませんが、われわれとやり取りがある医療機器メーカーは、これらの機器をセキュアなものにするための真剣な取り組みを始めています。
また、コネクテッドカーという分野もあります(中略)サイバーテロという観点から見てみましょう。コネクテッドカーの台数は2020年までに2億5000万台にまで増えると予測されており(中略)ハッカーがこういった自動車を攻撃し、サイバーテロを起こした場合、自動車同士が衝突したり、赤信号の交差点に突っ込んでいったりと、何が起こるか分かりません。その影響は極めて大きいため、ここでも規制という面での動きが出てきています。
これら2つの分野は、規制が設けられるべき重要な分野だと考えています。石油やガス、製造プロセス(中略)ホームオートメーション、ウェアラブルといったその他の分野では、問題はそれほど深刻化しません。
——テクノロジが進歩する速度を考えた場合、規制を設けるのは難しくはないでしょうか?
前例があるので難しくはないと思います。およそ17年前に制定されたGramm-Leach-Bliley Act(GLBA:グラム・リーチ・ブライリー法)という金融業界の規制が今や当たり前になっている点を思い出してもらえば分かるはずです。すべての金融機関は、ネットワークやウェブアプリといったもののセキュリティが適切に実装されていることを確実にし、ハッカーが侵入したり金融情報を盗めないようにする必要があるのです。
このため、車輪を再発明しなければならない事態には至らないでしょう。過去に用いたのと同じ原則に目を向け、あらゆるメーカーがIoT機器やソフトウェアをセキュアなものにしなければ販売できないようにすればよいのです。大げさなものにする必要はありません。これは極めてシンプルなものにできるはずです。
規制の目的は官僚主義をはびこらせることではありません。私が企業の役員らと話をした際に規制の善悪について尋ねてみたところ、良いことだという答えが返ってきました。というのも、規制によって予算が計上できるようになるためです。規制がない場合、これら製品をセキュアにするためにXXドル必要だとマネージャーが述べ立ててきても、不毛な時間を過ごす羽目になります(中略)彼らは、セキュアにする必要があり、そのためには予算を確保する必要があると感じているのです。