政府の情報セキュリティ計画案まとまる、目指すは「情報セキュリティ先進国」

[ITmedia]

　政府の情報セキュリティ政策会議は12月13日、第3回会合を開催し、情報セキュリティに関する国家としての中長期計画「第1次情報セキュリティ基本計画」の案をまとめた。同日よりパブリックコメントを受け付け、2006年1月末をめどに最終的な計画を確定。2006年度より実施に移していく予定だ。

　第1次情報セキュリティ基本計画は、行政機関や企業からの情報漏えいや重要インフラを担う情報システムの停止など、情報セキュリティ問題が多発していることを背景にまとめられたもの。個別の対症療法的な対策ではなく、国としての戦略的な情報セキュリティ対策を進めることを狙っている。

　同計画では、最終的な目標として官民の連携に基づく「情報セキュリティ先進国」への進展を掲げ、政府機関、重要インフラ、企業、個人の4つの分野ごとに、今後3年間で重点的に取り組むべき項目をそれぞれまとめている。

　政府機関に関しては、同時に策定された「政府機関の情報セキュリティ対策のための統一基準（2005年12月版（全体版初版））」に基づいたセキュリティ対策を進める。この統一基準では、各府省庁が最低限取り組むべき対策を定めるとともに、それがきちんと実施されているかどうかを内閣官房情報セキュリティセンター（NISC）が検査、評価し、その結果に基づいて改善を勧告することとした。同様に地方公共団体に対しても、情報セキュリティ監査を実施するほか、「自治体情報共有・分析センター」（仮称）の創設などを通じてセキュリティレベルの向上を図る。

　また、情報通信や金融、電力といった重要インフラ分野では、同じく同時にまとめられた「重要インフラの情報セキュリティ対策に係る行動計画」を軸に、分野横断的な取り組みを進める。いわゆるサイバー攻撃だけでなく、災害や人的ミスなどの非意図的要因が引き起こす障害やサービス停止から重要インフラを保護するため、各分野ごとに安全基準などを策定するほか、情報共有・分析機能（CEPTOAR）を整備する。さらに、分野横断的な情報共有を実現するため「重要インフラ連絡協議会（仮称）」の創設を進めていく。

　企業に関しては、「情報セキュリティ対策が市場評価につながる環境」を目指す。情報セキュリティガバナンスに関する仕組みを整備するほか、政府調達において、入札条件の1つに情報セキュリティ対策レベルを盛り込むことで、企業側の取り組みを促す。

　最後の個人に関しては、情報セキュリティリテラシーの向上を目指して教育を推進するほか、「情報セキュリティの日」創設、「情報セキュリティ天気予報」（仮称）の実施検討などを通じて広報啓発、情報発信を強化していく方針だ。

　さらに、4つの分野にまたがる横断的な政策として「情報セキュリティ技術戦略の推進」「情報セキュリティ人材の育成確保」といった項目が掲げられている。また、一連の戦略を推進するため、NISCの強化も進める。

　第1次情報セキュリティ基本計画案に対するパブリックコメントは、2006年1月13日まで、電子メールやFAX、郵送を通じて受け付けている。