情報処理振興事業協会：予算の10％をセキュリティに投資してほしい (2/2)

ZDNet　普及啓発活動が実を結んでいるのでしょうか。

小野　IPAだけでなく、アンチウイルスソフトベンダーの方々が頑張っているおかげでしょうね。ただしそうはいっても、IPAが2001年にアンケート調査を行った結果では、、アンチウイルスソフトのパターンファイルをアップデートしている人がやっと6割を超えた段階です。それを考えるとまだまだ広報活動が足りないのかもしれません。また、5000件の事業所について、2001年1月から12月の間に調査を行ったときにも、3割程度の事業所がウイルスの被害にあっているようです。これを被害額として概算すると2000億円程度にもなります。ただしこれも、被害にあった会社だからこそちゃんと報告してくれている、という部分もありますので、ランダムにピックアップすれば実害率はもっと高いかもしれません。

　IPAではさまざまな形でセキュリティに関するセミナーを行っています。今年も全国13か所、合計16回にわたって開催しましたが、1800名くらいの受講者がありました。毎年行っているのですが、管理者向けのコースに人気があって、150名くらいの定員がすぐに埋まってしまう状況です。

　また、セキュリティセンターでは「セキュリティスキルマップ」というのを作ります。各分野にはどういう技能が必要なのかが分かったり、どこが足りないのかが分かるようなマップになります。技能の要素を調査する、ということを始めています。2003年には具体化して発表する予定です。単に「セキュリティ」といってもさまざまなファクターがあるわけで、どこをどう強化していけばいいのか具体的に分かる必要があるわけです。

ZDNet　昨年ウイルスの大流行があって、対策を取っている人も増えてきたようですが、十分なお金をかけてセキュリティ対策を行っているユーザーは少ない用に思えますが。

小野　企業は社会的信用の問題もあって、対策が取られるようになってきてはいるようですね。感染してウイルスメールを蒔いてしまっては、顧客はもちろんのこと、社会的な信用をなくしますし。個人の場合でも、KlezやBadtransについては、アンチウイルスソフトベンダーが無料の駆除ソフトを提供したこともあって、ウイルス対策をまったく取っていないという人は減ってきたように思います。しかし中には何も対策を取っていない人が必ずいるわけで、そこからウイルスが広まってしまうのが現状でしょう。Klezについては差出人のメールアドレスを詐称しますので、感染した相手に対して警告を行うこともできない。2002年の3月から4月までには、Klezだけで1000件以上の報告があったくらいです。ただ、実害率がこれだけ減っているのは、2次感染が減っている証拠だと思います。これはアンチウイルスソフトが広まってきたおかげでしょうね。

「セキュリティの欠如は顧客ばかりか社会的な信頼を失う」と小野氏

ZDNet　セキュリティを確保するとは言っても、複雑すぎるとユーザーは使わないし、使い勝手を優先するとセキュリティが保てないと言う面もありますね。どうバランスを取っていくべきだと思いますか。

小野　使う側にとって見れば、それは使いやすいほうがいいに決まっているわけです。なのでこれからは暗号化とか、個人認証が大事になってくるでしょう。ICカードや指紋認証といったように、簡単に個人が認証できる仕組みが重要だと思います。電子政府でも個人認証は重要ですし。あとは声紋やアクセントによる音声認識という手段もありますね。

　IPAとして行っていくのは啓発活動だけではなくて、「この製品なら安全だ」という評価を行って、そのサポートを行っていくことが重要ですね。評価機関は先程述べたとおり発足しましたが、まだ国際的な認証が可能になっている段階ではありません。CCRA（Common Criteria Recognition Arrangement）からも来年前半には認定される予定です。いずれにしてもこれからですね。

ZDNet　e-Japan構想とともに電子政府ができあがっていくと、中にはセキュリティに対する脆弱性が露呈してしまう自治体もあるのではないでしょうか。

小野　確かにそうかもしれませんが、それは仕方のない部分もあります。どうしても問題が起きてから対処する、ということが必要な場合もありますし。しかし事故が起きないような対策は、IPAとしても行っていきます。中央省庁、地方自治体を問わず、中にはしっかりとセキュリティに関して意識の高いところはあるわけです。全国を平均的にサポートしていくことは無理かもしれませんが、よい参考例として、セキュリティ意識の高い自治体へ重点的に協力していく、という形はあるかもしれません。業務をアウトソーシングしている場合でも、しっかりとした管理者がいて、管理が行き届いている例もあります。IPAから通り一遍に報告するだけだと現実味がないのかもしれませんが、実例をあげて報告すれば、より効果があるはずです。

　個人ユーザーに対しても、以前「IT講習」という動きがありましたが、そこでできたのは、マウスの動かし方や入力の仕方といったような、パソコンの基本的な操作だけでした。しかしこれからは、パソコンの基本については理解できている人が、セキュリティに対して学ぶときに、サポートするためのツールを提供したりとか、Webサイトでターゲット別に情報を提供していくといった活動を強化していくつもりです。

ZDNet　被害を未然に防ぐためには何が重要になっていくのでしょうか。

小野　ひとつはこれまでと同様に、セキュリティを保つ活動を徹底して行ってほしい、ということですね。あとは暗号やセキュリティの標準規格が確立されてきたので、それを取り込んで活用してほしいということです。あとは日常的な業務の中でもセキュリティに対する意識を持って行動してほしいですね。セキュリティはIT化の必須条件である、ということを忘れないでほしいと思います。

　いずれにしても絶対の安全というものはありません。しかしどういう被害があり得るかを考えて、企業ならば投資金額の10％はセキュリティ関連予算として取ってほしいと思っています。時間もお金も人も、その1割をセキュリティ対策に当てればかなり変わるはずです。

IPAの理事として多忙な毎日を送る小野氏は、年末は大掃除をして、温泉に行く予定であるとのこと。セキュリティ関連の事件は予測がつかないだけに、ひとまずは英気を養うと言ったところだろうか。

関連リンク
2003年新春インタビュースペシャル
情報処理振興事業協会

前のページ | 1 2 | 　　　　　

[聞き手：今藤弘一、高橋睦美，ITmedia]