ニュース
2005/01/26 21:23 更新
「セキュリティ、どこまでやれば大丈夫?」――経産省、不安をなくす指標作りへ
IDGジャパンが開催した「Security Tech Update」の基調講演に経済産業省課長補佐の田辺雄史氏が登場。情報セキュリティガバナンスの実現に向けた取り組みについて語った。
「改めて基本に立ち返って考えてみると、情報セキュリティへの投資はなぜ進まないのか? なぜ情報セキュリティ対策が進まないのだろうか? いくつか要因はあるが、中でも多いのは『費用対効果が見えない』『どこまでやればいいのかが分からない』といった声だ」(経済産業省商務情報政策局 情報セキュリティ対策室 課長補佐の田辺雄史氏)。
IDGジャパンは1月26日、「Security Tech Update」を開催した。基調講演の中で田辺氏はこのように語り、情報セキュリティ対策への投資を適切に行うための「判断指標」が求められるし、その投資が世の中からきちんと企業価値として「評価」されるような仕組み作りが必要だと訴えた。
田辺氏が講演の中で繰り返し強調したのは、セキュリティマネジメントの重要性だ。「一時期は情報セキュリティ対策というと技術的対策に偏り、『ウイルス対策ソフトを導入したから大丈夫』『ポリシーを作ったから大丈夫』といった思い込みもあった。しかしそれだけでは不十分。一番大事なのは組織的な情報セキュリティ対策だ」(田辺氏)。
同氏は、事故が起こりうることも前提に入れて継続的なセキュリティ対策を進めていくには、情報セキュリティマネジメント(管理)が不可欠であり、ひいては情報セキュリティガバナンス――情報セキュリティを高いレベルで維持していくための構造――を企業に実装していくことが必要だという考えを示した。
対策の度合いを測る「ものさし」を
ただ、そこで障害となるのが「何をどこまでやればいいのか分からない」という問題だ。そこで経済産業省では、情報セキュリティマネジメントシステム(ISMS)適合性評価制度や情報セキュリティ監査制度といったこれまでの取り組みに加え、情報セキュリティ投資の「指標」「ものさし」作りを検討していくという。
田辺氏によると、そうしたものさしの例として、レーダーチャート型の「対策ベンチマーク」が検討されているという。ポリシーやウイルス対策、物理的対策、社内教育、委託先の検査などの項目ごとに数段階のレベルを示し、「いま自社に足りないのは何か」「どのくらい足りないのか」をグラフィカルに示すものだ。
一方、企業の情報セキュリティに対する取り組みを世の中から評価してもらう仕組みとして、「情報セキュリティ報告書」というアプローチも紹介した。自社のセキュリティポリシーや対策実施状況を公表することで、コンプライアンスや社会責任を果たしていこうという試みだ。
「『環境報告書や知的財産報告書などを作っているのに、そのうえさらに報告書を作るの?』などという声もあるが、先進的な企業の中には、既に有価証券報告書やCSR報告書の中で情報セキュリティ対策に触れているところも出てきている」(田辺氏)。
さらに、狭義のセキュリティ問題にとどまらず、さまざまなIT事故やトラブルから企業のビジネスを守ることを目的に「事業継続計画(BCP)の入門書となるガイドラインを用意する」(田辺氏)という。
2001年の同時多発テロという背景の違いもあるだろうが、米国では9割もの企業がBCPを用意しているのに対し、日本の企業は「圧倒的に作っていない」(同氏)状態。このガイドラインを通じて、BCPとはどういったもので、何をなすべきかを示し、事業継続性の必要性を認識してもらいたいという。こうした取り組みが進めば、最終的には「企業の競争力強化につながるのでは」と同氏は予測する。
田辺氏は最後に、「2005年のキーワードの中でも重要なのは2つある。1つはサプライサイドではなく、システムを使う側、ユーザーサイドのセキュリティ強化。そしてもう1つはセキュリティ文化の実装だ」と述べ、日本におけるセキュリティ文化の醸成と広がりを目指したいという姿勢を示した。
なお田辺氏は講演の中で、国内でも被害が広がりつつあるフィッシング詐欺への対応にも言及している。「私もいくつかフィッシング詐欺メールを受け取ったが、けっこうよくできている」(同氏)。ただ対策となると、大きな被害を出している振り込め詐欺と同じで、手口を告知し、それに近づかないよう普及啓発していくしかないもという。
経済産業省は先に「フィッシング・メール対策連絡会議」を開催しているが、「フィッシングの手口をオープンにして、ユーザーに注意を呼びかける組織を作っていけないかを検討していく」(同氏)。
関連記事
関連リンク
[高橋睦美,ITmedia]
Copyright© 2010 ITmedia, Inc. All Rights Reserved.
@IT「Windows 7」 特設サイトオープン!
IT基盤をアウトソースした中堅中小企業たち
「どこでもオフィス」で業務効率アップ!
「設備」「ネットワーク」「マネジメント」
「Windows 7搭載PC」で何が変わったのか?![【CTC事例】約30の基幹システム統合に成功[経営の見える化]につなげる新システムとは](http://image.itmedia.co.jp/images0509/fyi/enterprise_13_1265072188.jpg){kind=small}
【CTC事例】約30の基幹システム統合に成功
1日の処理を1秒にも――MySQLの達人が語る
トップエンジニア村上氏と上野氏が競演!
技術者不在でも「すぐに使える」
業務でオープンソースは不安、は過去のこと
「ノートPCの持ち出し禁止」だけで大丈夫?
かつての日本の成功体験はもう通じない
MONOist執筆陣×PTC対談企画 好評の第2弾
IBM スマートなモノづくり PLMフォーラム
世界で勝つ 強い日本企業のつくり方:利用契約の検討――グローバルクラウドで失敗しないために(前編)
IT投資の新方程式:「Twitter使ってます」――現役MS社員が“社員力”を語る(前編)
産業構造を変えるか:「住宅クラウド」の衝撃
オルタナティブな生き方 栗原進さん:ネットでリアルを楽しくしたい
最強最速アルゴリズマー養成講座:トップクラスだけが知る「このアルゴリズムがすごい」――「探索」基礎最速マスター