日本の情報セキュリティ政策の転換点は?
Internet Week 2006の一環として行われた「Security Day 2006」に、NISC情報セキュリティ補佐官の山口英氏が登場。政府の情報セキュリティへの取り組みについて語った。
12月5日から8日にかけて、「Internet Week 2006」が横浜で開催された。12月7日には、JPCERTコーディネーションセンター(JPCERT/CC)と日本データ通信協会(Telecom-ISAC Japan)、日本ネットワークセキュリティ協会(JNSA)が共催する「Security Day 2006」が行われた。
セミナーのトリとなる基調講演には、内閣官房情報セキュリティセンター(NISC)情報セキュリティ補佐官の山口英氏が登場。これまでの政府の情報セキュリティへの取り組みについて語った。NISCの創設や3カ年計画に当たる「第1次情報セキュリティ基本計画」の策定といった活動を進めてきたが、今後の課題として、同氏は「情報セキュリティは他の政策と連携し続けないとうまくいかない」と述べている。
不正アクセス対策からヘルシーな運用へ
山口氏によると、政府の情報セキュリティに対する取り組みに大きな変化が訪れたのは2005年のことだ。それまでの情報セキュリティ対策は、2000年の年明けに起こった省庁Webサイトの改ざん事件を踏まえた「不正アクセス対策」が主眼だったうえ、テロ対策に重心が置かれていたという。
「本来情報セキュリティというのは、情報システムや情報資産をどうヘルシーに使っていくかということを考えるマネジメントの1つであるべき。しかし不幸なことに政府にとってはWeb改ざんが原体験となり、そのため『リスクは外からやってくるもの』というすり込みがあった」(山口氏)
この方向に変化が見られたのが、2003年に公表された「e-Japan II」戦略だった。「生活や経済の基盤化したITをヘルシーに動かさないといけない、それを考えることがセキュリティであるという考え方が示された。1つの大きな転換点」(同氏)。法制度を見ても、当初の暗号化やウイルス/Web改ざん対策中心の法律から、いかに組織的な対策を進め、また事業や機能を継続させ、守っていくかという方向へのシフトが起こってきたという。
山口氏はこの5年間、経済活動の基盤環境に大きな変化が起こったと述べた。まず、あらゆる活動がITに依存するようになった。また、その基盤を取り巻くリスクとして、サイバーテロだけでなく、停電や震災といったさまざまな事故、自然災害にも目が向けられるようになった。さらに、個人情報保護法を1つのきっかけに、情報資産管理の適正化がさまざまな側面で求められるようになったという。
同氏はこうした変化を踏まえ、官民の適切な役割分担による情報セキュリティ政策の「組み直し」に取り組んできたという。具体的にはNISCを開設し、3カ年計画にあたる「第1次情報セキュリティ基本計画」とそれに基づく具体化した年次計画「セキュア・ジャパン2006」をまとめてきた。
その1つとして実施されたのが、中央官庁のセキュリティ監査だ。そもそもこの監査はWebサーバと端末ごとに「必要最低限これだけはやってほしい」といった項目をまとめた、「穴」や「へこみ」をなくすための水準という位置付けだった。しかし結果は惨憺たる状況で、6つの省庁で、セキュリティ対策実施率が60%以下の「D」という評価となった。
しかし山口氏は、できは悪いが、一回目のこの結果だけがすべてではないと述べた。「今からいかにこの状況が立て直っていくかがポイントだ」(同氏)。もしもう一回検査して同じような状態であればそのときは本気で批判すべきであるし、逆に、Aが取れればそれを一定程度評価すべきとした。
まだ不十分、「一緒に考えたい」
山口氏はさらに、引き続き、政府機関で緊急事態の対応に当たるGSOCの設立や新しい技術の組み入れ、人材育成など幾つかの取り組みを進めていくと述べた。
また重要インフラについても、セキュリティ対策の強化を図る。安全基準の策定と情報共有体制の構築によって「基礎体力」の強化を進めるほか、重要インフラどうしの「相互依存性」の解析を進める。また2006年度中に、「ヘルスチェック」的な役割を担う、分野横断的な演習を実施する予定だ。
山口氏はこれまでの取り組みを踏まえ、「情報セキュリティ政策は単体では成立し得ない」といった課題も見えてきたと振り返った。他の政策と連動し続けないとうまくいかず「縦割り構造をぶちかましていく必要がある」という。
さらに、「やればやるほど問題が深掘りされ、やってもやっても終わらない状態になるが、重要度は増していく」という、情報セキュリティ担当者誰もが抱く思いも吐露した。こうなると「持続可能な体制と持続可能な取り組みを作っていかなければならないが、定期的に人事異動がある日本の行政ではそうした取り組みが苦手。うまく民間の人材や知見を取り込んでいく必要がある」(同氏)。
その上で会場の参加者に対し、「(これまでの取り組みは)まだ不十分で納得いかない点もある。もっともっと踏み込んで行かなくてはならない。皆さんの意見をインプットし、中身をどう厚くしていくか、ぜひ一緒に考えていきたい」と締めくくった。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。