#はじめに
この記事はNTTテククロス Advent Calendar 9日目の記事です。
NTTテクノクロス株式会社セキュアシステム事業部、経営企画部広報室兼務、クロステックセンター兼務、TX-CSIRT兼務、アソシエイトエバンジェリスト、テクニカルプロフェッショナルの武井です。
肩書きが異常に長いです。簡単に言えば色々やっている人です。
社内だけではなく、社外でも日本ネットワークセキュリティ協会(JNSA)の関連団体の日本セキュリティオペレーション事業者協議会(ISOG-J)で活動し、副代表とセキュリティ連携ワーキンググループ(WG6)リーダーをやっています。
昨日は堀江さんのAWSの負荷試験のお話でした。今日はガラッと変わって会社の名義で活動しているITU-TにおけるX.1060の策定による国際標準化活動を通じて感じた、「世界は意外と近い」というお話をさせていただきます。
技術バリバリのお話とは少し角度を変えて、その技術やアイデアが世界に届く、それがみんなに使ってもらえるようになるまでには、というお話です。
国際標準とは
一口に「国際標準」と言ってみたものの、実際にはいくつかの種類があります。
良いテキストとして一般社団法人 情報通信技術委委員会(TTC)の標準化教育コンテンツ、標準化教育テキスト入門編 第7版(2021/3)があります。
そこで大きく3種類の標準が紹介されています。
- デジュール標準
- フォーラム標準
- デファクト標準
デジュール標準
デジュール標準は先のテキストでは「公的な位置付けの標準化機関において明確に定められた透明かつ公正な手続きで関係者が合意の上、制定される標準」とされています。
例としては、ITU(国際電気通信連合)やISO(国際標準化機構)やIEC(国際電気標準化会議)ですね。ITUの標準はX.nnnやH.nnnなどのアルファベット+数字で整理されています。H.264は動画の関連ですね。X.500シリーズはディレクトリサービスですね。
自分が関わった勧告はX.1060 "Framework for the creation and operation of a cyber defence centre"、日本語にするなら「サイバーディフェンスセンターを構築・運用するためのフレームワーク」です。企業や組織におけるセキュリティをどのようなセキュリティ組織で行うか、日本のノウハウを含めた形の勧告となっています。
ISOはISO270001など聞いたことがある方もおられるかと思います。
フォーラム標準
フォーラム標準は先のテキストでは「複数の企業等により結成されるフォーラムと呼ばれる組織が、公的ではないが開かれた標準化手続きにより策定する標準」とされています。
例としてはIETF(Internet Engineering Task Force)、IEEE(Institute of Electrical and Electronics Engineers)、W3C(World Wide Web Consortium)ですね。
インターネットの関連で、IETFのRFC(Request For Comments)はRFCnnnnのようにRFC+数字で表され、プロトコルの仕様など見たことがあるのではないでしょうか。
デファクト標準
デファクト標準は先のテキストでは「デジュール標準のような標準化プロセスを経ず、市場で多くの人に受け入れられることで事実上の標準となったもの」とされています。
windowsやiOS、Androidが例として挙げられています。ある企業が提唱したものがみんなが利用することで実質的に標準となっている例ですね。
ここではデジュール標準について話を進めます。
国際標準化すると
国際標準になると何が良いのか。これは公平かつ公正に決められているため、世界各国どこででも相互に利用できるようなる、ということです。特にデジュール標準は各国からの承認があって初めて勧告となるため、みんなでそれを利用することができます。
どこかの国がその国内向けに作ったものを無理に利用することもなく、各国がこれでやりましょう、と合意した全員で使えるものを同じように使いましょう、ということです。
その結果、どこの国でも同じように利用ができるので、ビジネスの上でも各国の事情に左右されることなく、同じように同じものが使える、というメリットがあります。
どうやって決められるのか?
ITU-Tを例に挙げますと、年に2回大きな会議があります。そこで集まって議論がなされます。場所はジュネーブです。が、しばらくはリモートで開催されています。ジュネーブの時間に合わせて開催されるので、日本時間だと夕方から深夜になりますね。1回の会期は2週間くらいですが土日は会議はありません。
ITU-Tは厳格な手続きと文書の文化です。何をするにも決まっているフォーマットに沿って文書化する必要があります。例えば、自分は***を標準にしたい!と考えた際には、フォーマットに沿った文書を作成し、会議に提出します。締め切りは会議の2週間前で遅れると議論の対象にもなりません。
それを国際会議の期間中に議論して修正を行いますが、そのやりとりが年に2回なのでコメントが出なくなるまで十分に議論を重ねるには数年かかります。十分に議論がされた、となるといよいよ各国の承認を得る段階となります。
結果的に最初に提案をし始めてから、全員が合意できる文書ができあがるまで数年かかり、各国の承認の結果が出るまでも数ヶ月かかります。
当然のことながら色々な国の色々な出席者から色々な角度のコメントや質問が出てきます。思いも寄らない部分に思いもしないツッコミが入ることもあります。国際の場での議論は色々な思いや見方があることを知ります。
その意味では、自分が関わったX.1060は日本の産業界の実績のあるノウハウ的な部分を紹介しつつ提案を行なったことで、各国から好意的に受け入れられたといえます。その結果、出来上がった勧告には日本の各種セキュリティのドキュメントと親和性が高く、使いやすい国際標準にできたのではと思います。
日本のコミュニティの良い技術やアイデアを世界へ!
みなさんが色々なコミュニティなどの勉強会に参加したり、スキルアップをされていると思います。そのアイデアや技術はもしかしたら世界に通用し、いいね!と言ってもらえるものかもしれません。
特にコミュニティでの議論の結果や実績があるものについては、一目置かれるのではないでしょうか。
世界に提案となると言葉の壁も大きく、どこでどうやったら、という難しさを感じることもあるかと思います。国内にはこれまでにも各種標準化の会議に出席し取り組んできた方々がたくさんおられます。意外と近いところに関係する方がいて、参加できたり世界に提案できたりするかもしれません。
少し視点を世界に向けてみると意外と届く可能性もあります。
最後に
X.1060の勧告については、国内コミュニティのISOG-JのWG6で議論してきたメンバーの活動があってこそ世界に届いたものだと思っています。また、それをITU-Tでの議論をリードしてくれた方々(ニュースリリース)の活躍があってこそ、形になったと思います。この場を借りて感謝申し上げます。ありがとうございました。
また、こういった活動に理解があり送り出してくれた会社にも感謝いたします。家族の理解もあってこそでした。
みなさんも色々な活動を通じて、国内だけではなく世界に目を向けて、良いアイデアや技術を広めてみるのはいかがでしょうか!チャンスがあれば是非挑戦してみて下さい!
明日は広瀬さんによる機械学習についてのお話だそうです。乞うご期待!