「守り」ではなく「攻め」のセキュリティを――内閣官房山崎氏：セキュリティ・ソリューション・フォーラム

セキュリティ・ソリューション・フォーラムにおいて、内閣官房情報セキュリティ対策推進室参事官補佐の山崎琢矢氏が基調講演を行った。

[高橋睦美，ITmedia]

　WPC Expoと同じく10月20日より、東京ビッグサイトにて、セキュリティをテーマとしたイベント「Security Solution 2004」が開催されている。

　併催の「セキュリティ・ソリューション・フォーラム」の基調講演には、内閣官房情報セキュリティ対策推進室参事官補佐の山崎琢矢氏が登場し、「守りのためのセキュリティではなく、情報を戦略的に活用するための『攻め』のセキュリティに取り組むべき」と主張した。

　政府にしても、企業をはじめとするさまざまな組織でもそうだが、そもそもセキュリティに取り組むきっかけはウイルス被害であったり、Webページの改ざんなどの「被害」であったりすることが多い。しかし、組織の情報資産を守り、被害に遭わないようにすることを主眼としたアプローチには限界があるのではないかと山崎氏は言う。

　「いわゆる狭義のISMS（情報セキュリティマネジメントシステム）では薄くなりがちな部分が2つある」（同氏）。

　1つは「事業継続性の確保」だ。ISMSにも含まれている要素ではあるが、システム障害に起因するサービス停止への備えも含む、より広い観点からの対策が求められているという。「『サービスを止めてはいけない』ということが、外部から組織に対する信頼感につながる」（山崎氏）。

　もう1つは「情報の戦略的活用」という視点である。「単に情報資産を守るだけのセキュリティではシュリンク（縮小）するだけ。情報セキュリティ対策は、情報を戦略的に活用する基盤としてとらえるべき」（山崎氏）。

　最近では、ウイルス対策や不正侵入防止といった取り組みに代わり、にわかに個人情報漏洩対策が脚光を浴びている。だがここにも、置き去りにされている問題があるという。

　「多くの企業では個人情報漏洩問題を『明日はわが身』ととらえているが、漏洩している個人情報の価値に関する議論が置き去りにされている」と山崎氏。根本的な議論がなされないまま個人情報漏洩事件が頻発した結果、「マンネリ化に陥り、『個人情報が漏れたからといって、それでいったいどうなるの』などという風潮が出てくることを一番恐れている」（同氏）。

「守るためのセキュリティではシュリンクしていく」と述べた山崎氏

　そういった事態を避けるには、同氏の表現を借りれば「個人情報バブル」に陥っている現状をあおるのではなく、「プライバシーについての立ち位置、哲学を確立し、地に足の着いた社会システムを構築していく必要がある」という。

　ちなみに山崎氏によれば、日本企業では最近「損害賠償付け回しモデル」なるものが蔓延しているそうだ。「システム契約時に、発注側が受注側に『もし情報漏洩事故が発生したら、その損害賠償分をかぶってくれ』と求める例が多いようだ」。確かにこれで、経済的損失はかぶらなくてすむかもしれないが、「根本的な対応はなされない」（同氏）ままだ。

　そもそも、なぜ情報セキュリティ対策が必要なのか。社会全体としてみれば、「信頼性の高い基盤を作ることが強みになり、競争力になる」（山崎氏）。

　個々の組織としても「組織全体を見直し、責任構造も含めた業務プロセスを見直すことによって、結果として組織の基礎体力向上につながる」と同氏は述べた。

　もちろん、この最終的な目標が一朝一夕に実現できるわけではない。それに向けた「中目標」として、山崎氏は「ITから得られる恩恵を最大化する」「一方で、システムが抱えるリスクを最小化する」という2つの項目を挙げている。

　そして、これら目標を現実化していくには、技術や法律、標準などを踏まえた対策と外部の目による監査を繰り返し、レベルアップしていくべきだとした。「情報の戦略的な活用を織り込んだ、会社に合った思想を基にして、その上でスパイラルアップを図っていくべき」（同氏）。