社会的責任として情報セキュリティ対策を

JSNAは、「Network Security Forum 2004」を開催。経済産業省 情報セキュリティ政策室課長補佐の田辺雄史氏は基調講演で、情報セキュリティガバナンスの重要性を訴えた。

[堀哲也，ITmedia]

　日本ネットワークセキュリティ協会（JSNA）は10月28日、「Network Security Forum 2004」を開催。経済産業省 情報セキュリティ政策室課長補佐の田辺雄史氏が基調講演を行った。

　「情報セキュリティ対策は企業価値を高められるのか？　」と題された講演の中で、最近の政府の動向などと併せて、情報セキュリティガバナンスの重要性を訴えた。

「フィッシングメールが私のところにも届いた。しかしXP SP2を入れていたので、アクセスしてもPINコードの入力を求めるポップアップがブロックされた」と、自身のエピソードも交えて語った田辺氏

　「マイナスの側面ばかりではやる気をなくしてしまう。プラスの側面も考えていかなければ」。田辺氏は、企業にとってセキュリティ対策がコストという意識でなく、ポジティブなプラスの価値を生み出すインセンティブが必要だという。技術的な対策は進んできているものの、組織的な対策との間にすき間が生じるようでは、そこにつけいれられる問題が発生することになるからだ。

　「ファイアウォール、アンチウイルスなど技術的な対策は進んできたが、ゴミ箱をあさるといったようなソーシャルエンジニアリングには残念ながら対処ができない。だまされないための組織的な対策が必要だ」

　だが、企業にとってセキュリティ対策は「できればやりたくないのが本音」とも指摘する。費用対効果が見えにくい、どこまでやれば十分なのか基準がないというのが主な理由だ。そのため、自社の被害の極小化という観点からしか対策が進まない状況が生まれてしまう。

　この問題に対処すべく、経産省では今年9月に「企業における情報セキュリティガバナンスに関する研究会」を立ち上げている。企業がコンプライアンスの確保や、IT社会の一員であるという社会的責任という観点から、適正なレベルでセキュリティを確保する構造を作れるようにするためだ。

　経産省では、それを促進するためのツールを今年度内にまとめる方針で、「情報セキュリティ対策ベンチマーク」「情報セキュリティ報告書モデル」「事業継続計画策定ガイドライン」の3つが挙げられている。

　情報セキュリティ対策ベンチマークは、具体的な対策を整理してセルフチェックし、被害想定額の算出手法などのリスク評価を行えるようにするツール。情報セキュリティ報告書モデルは、環境報告書のように社会的責任を説明するIRの一環に使える報告書のモデル案を作ろうというものだ。

　そして、事業継続計画策定ガイドラインは、IT事故発生時にも事業運営を継続的に維持するための計画の策定手順などのガイドラインを作るろうという取り組み。

　このようなツールで企業を支援することで、企業の情報セキュリティ対策に対して、「投資家や顧客から信頼を確保できるための仕組みを作っていきたい」と話した。