「社会全体のコンセンサス作りを」――ディアイティ下村氏：RSA Conference Japan 2006（1/2 ページ）

どこまでやれば企業としての責任を全うしたことになるのか、そのコンセンサスをネットワークの参加者全員で作り上げていくことが重要だと、ディアイティの下村氏は述べる。

[高橋睦美，ITmedia]

　情報セキュリティが一部の技術者だけの問題にとどまっていた時代は終わった。セキュリティのあり方が企業、さらには社会のあり方まで左右しかねない現在、経営者から従業員、そして企業が提供するサービスを享受する利用者にいたるまで、社会の構成員すべてがそれぞれセキュリティについて認識し、考えるべき時代が来ている――。

　日本で5回目の開催を迎える、情報セキュリティをテーマとしたカンファレンス「RSA Conference Japan 2006」のプログラム・コミッティの一員にして、ディアイティの代表取締役社長、下村正洋氏に、ここ数年のセキュリティを取り巻く変化について聞いた。

---

ITmedia　RSA Conference Japanが始まった5年前と2006年の今とを比べて、情報セキュリティを取り巻く状況にはどんな変化があったでしょう？

下村　5年前は、セキュリティと言えば情報システムを守ることだという意識が強かったですね。つまり、ファイアウォールやIDSといったIT的な対応方法ばかりが注目されていました。しかし今や、守るべきものは情報資産であるということが明らかになっています。しかもその情報資産はITシステムの中だけでなく、キャビネットの中などに書類の形でも存在しています。

　2005年4月の個人情報保護法の全面施行によって、このことはいっそうはっきりしました。個人情報保護法により、情報のオーナーは個人であり、その扱いについてはオーナーの意思を尊重すべきということが明確になりました。これまでは、自分の「ムラ」だけ守っていればよかったのですが、預かる他人の情報をどう保護するかという課題への対応も求められるようになっています。

　では、一体どうすればいいんだろう？　何か基準があるといいんじゃないか、ということから、ISMSやプライバシーマーク、最近ではISO27001などの認証取得が流行になりました。今では千数百社がISMSなどの認証を取得しています。取りすぎじゃないか、というぐらいの勢いです。ただ、ここで注意しなければいけないのは、その目的です。認証を取得すること自体が目的ではなく、情報資産を、ひいては組織を守ることが目的であるという部分が抜け落ちてはいけません。

ITmedia　企業以外の分野では？

下村　もう1つ大きな変化として、政府の取り組みが挙げられるでしょう。この5年で大きく変化しました。例えば、内閣官房情報セキュリティセンター（NISC）が設立され、これまで各省庁ごとに別々の基準で進められていた対策が、政府という観点から一元的に考えられるようになりました。また、「第1次情報セキュリティ基本計画」という形で指針も整えられつつあります。こうした動きは後々、じわりと効いてくると思います。

　また個人の分野で見ると、ネットワークの浸透という意味では世界で一、二位を争うところまできていると思います。ネットオークションにしてもオンラインショッピングにしても非常に高い利用率ですね。ただ、そうした取引にどんな利便性があるかは理解されていても、どのような危険があるかについては、まだ十分に理解されていないようです。だからいまだに、仕組みさえ分かればたいしたことのないワンクリック詐欺で驚く人も多いのだと思います。

ITmedia　こうした変化を踏まえて、企業が抱える課題とは何でしょう？

下村　今、企業には非常に大きなプレッシャーがかかっています。預かり物である情報を適切に扱わないと、企業活動に影響が生じる恐れがあるからです。自己採点ではなく、第三者や外部の人から見て客観的に認めてもらえる情報セキュリティ対策とは何だろう？　と模索を続ける一方で、早急な対策の実行が求められています。しかし、その評価の目安が誰に聞いても分からない。

ITmedia　それは、企業によって答えが個々に異なるため、それぞれ自力で考えなければいけない事柄では？