| エンタープライズ:ニュース | 2003/10/11 18:22:00 更新 |
「事故は起こりうる」ことを前提に経済産業省が「情報セキュリティ総合戦略」を策定
経済産業省は10月10日、産業構造審議会情報セキュリティ部会の答申に基づいて「情報セキュリティ総合戦略」を策定。Web上で公開した。
経済産業省は10月10日、産業構造審議会情報セキュリティ部会の答申に基づく「情報セキュリティ総合戦略」を策定、公開した。
この戦略は、重要インフラを狙った不正侵入や人為的ミスが発端となったシステムダウン、あるいは8月のMSBlast(Blaster)に代表されるウイルス・ワームのまん延といったインシデントが多発していることを背景にまとめられたもの。同省のみならず、内閣官房や内閣府、警察庁、防衛庁、総務省など、関係省庁の参加も得て策定された、初の総合的な情報セキュリティ戦略になる。
同省ではプレスリリースの中で、情報セキュリティ対策については、「国や自治体の取り組みは遅れている上、企業や個人の多くは対症療法的対応しか行っていないという状況」と指摘。これに対し今回の総合戦略では、「世界最高水準の『高信頼性社会』の構築」を目指して、日本の重要な国家戦略の中に情報セキュリティ問題を組み込み、対策に取り組んでいくという。
この戦略は目標達成に向けて、「しなやかな『事故前提社会システム』の構築」「『高信頼性』を強みとするための公的対応の強化」「内閣機能強化による統一的推進」という3つの基本戦略と、より具体的な42個の施策項目から構成されている。内容は同省Webサイトで公開されており、誰でも閲覧が可能だ。
具体的な取り組みがまだこれからである以上、評価を下すにはまだ早いが、少なくとも戦略1として挙げられている「しなやかな『事故前提社会システム』の構築」は、「情報セキュリティに絶対はなく、事故は起こりうるものである」という前提に立った点で評価できそうだ。ここでは、対症療法的な対策だけで終わるのではなく、インシデントの予防と、それが発生した際の被害の最小化・局限化(拡大防止)、回復力の確保に取り組むという。
具体的には、脆弱性(セキュリティホール)情報の集積のためのルールを構築するとともに、これら脆弱性やウイルス、ワームの危険性を検証・解析する体制を整備するという。ただ、IPA/ISEC(情報処理振興事業協会セキュリティセンター)やJPCERT/CC、Telecom-ISAC、あるいは@Police(警察庁)といった既存の組織の取り組みとどのように連携にしていくかには触れられていない。
他には、危険なウイルスやワームの発生についての注意喚起・警戒情報の提供やサイバーテロ演習の実施、情報セキュリティをめぐるリスクに対する定量的評価手法の開発・公開などが挙げられている。またリスクの定量的評価を目的に、公的機関による情報セキュリティの事故データの継続的な収集も行われるという。
2つめの「『高信頼性』を強みとするための公的対応の強化」は、企業やユーザー個々では取り組めないような公的な問題に対し、政府が積極的に取り組むというものだ。例えば、OSなどのITシステムの基盤が多様性を保ち、ユーザーが選択肢を持てるよう代替案を検討するという。また、インシデントの原因の1つであるセキュリティホールをできる限り減らすよう、セキュアプログラミング手法の確立と実用化に取り組む。
さらに最後の「内閣機能強化による統一的推進」では、各省庁や地方自治体個々のセキュリティ対策を強化するだけでなく、内閣官房情報セキュリティ対策推進室が中心となって、一元的にセキュリティ対策を進められるようにする。これに関連して、各省庁に対するセキュリティ監査や侵入テストといった検査の実施も、項目の中に挙げられている。
関連リンク
経済産業省[ITmedia]
