ニュース
» 2006年12月11日 12時10分 公開

日本の情報セキュリティ政策の転換点は?

Internet Week 2006の一環として行われた「Security Day 2006」に、NISC情報セキュリティ補佐官の山口英氏が登場。政府の情報セキュリティへの取り組みについて語った。

[高橋睦美,ITmedia]

 12月5日から8日にかけて、「Internet Week 2006」が横浜で開催された。12月7日には、JPCERTコーディネーションセンター(JPCERT/CC)と日本データ通信協会(Telecom-ISAC Japan)、日本ネットワークセキュリティ協会(JNSA)が共催する「Security Day 2006」が行われた。

 セミナーのトリとなる基調講演には、内閣官房情報セキュリティセンター(NISC)情報セキュリティ補佐官の山口英氏が登場。これまでの政府の情報セキュリティへの取り組みについて語った。NISCの創設や3カ年計画に当たる「第1次情報セキュリティ基本計画」の策定といった活動を進めてきたが、今後の課題として、同氏は「情報セキュリティは他の政策と連携し続けないとうまくいかない」と述べている。

不正アクセス対策からヘルシーな運用へ

 山口氏によると、政府の情報セキュリティに対する取り組みに大きな変化が訪れたのは2005年のことだ。それまでの情報セキュリティ対策は、2000年の年明けに起こった省庁Webサイトの改ざん事件を踏まえた「不正アクセス対策」が主眼だったうえ、テロ対策に重心が置かれていたという。

 「本来情報セキュリティというのは、情報システムや情報資産をどうヘルシーに使っていくかということを考えるマネジメントの1つであるべき。しかし不幸なことに政府にとってはWeb改ざんが原体験となり、そのため『リスクは外からやってくるもの』というすり込みがあった」(山口氏)

 この方向に変化が見られたのが、2003年に公表された「e-Japan II」戦略だった。「生活や経済の基盤化したITをヘルシーに動かさないといけない、それを考えることがセキュリティであるという考え方が示された。1つの大きな転換点」(同氏)。法制度を見ても、当初の暗号化やウイルス/Web改ざん対策中心の法律から、いかに組織的な対策を進め、また事業や機能を継続させ、守っていくかという方向へのシフトが起こってきたという。

 山口氏はこの5年間、経済活動の基盤環境に大きな変化が起こったと述べた。まず、あらゆる活動がITに依存するようになった。また、その基盤を取り巻くリスクとして、サイバーテロだけでなく、停電や震災といったさまざまな事故、自然災害にも目が向けられるようになった。さらに、個人情報保護法を1つのきっかけに、情報資産管理の適正化がさまざまな側面で求められるようになったという。

 同氏はこうした変化を踏まえ、官民の適切な役割分担による情報セキュリティ政策の「組み直し」に取り組んできたという。具体的にはNISCを開設し、3カ年計画にあたる「第1次情報セキュリティ基本計画」とそれに基づく具体化した年次計画「セキュア・ジャパン2006」をまとめてきた。

 その1つとして実施されたのが、中央官庁のセキュリティ監査だ。そもそもこの監査はWebサーバと端末ごとに「必要最低限これだけはやってほしい」といった項目をまとめた、「穴」や「へこみ」をなくすための水準という位置付けだった。しかし結果は惨憺たる状況で、6つの省庁で、セキュリティ対策実施率が60%以下の「D」という評価となった。

 しかし山口氏は、できは悪いが、一回目のこの結果だけがすべてではないと述べた。「今からいかにこの状況が立て直っていくかがポイントだ」(同氏)。もしもう一回検査して同じような状態であればそのときは本気で批判すべきであるし、逆に、Aが取れればそれを一定程度評価すべきとした。

まだ不十分、「一緒に考えたい」

 山口氏はさらに、引き続き、政府機関で緊急事態の対応に当たるGSOCの設立や新しい技術の組み入れ、人材育成など幾つかの取り組みを進めていくと述べた。

 また重要インフラについても、セキュリティ対策の強化を図る。安全基準の策定と情報共有体制の構築によって「基礎体力」の強化を進めるほか、重要インフラどうしの「相互依存性」の解析を進める。また2006年度中に、「ヘルスチェック」的な役割を担う、分野横断的な演習を実施する予定だ。

 山口氏はこれまでの取り組みを踏まえ、「情報セキュリティ政策は単体では成立し得ない」といった課題も見えてきたと振り返った。他の政策と連動し続けないとうまくいかず「縦割り構造をぶちかましていく必要がある」という。

 さらに、「やればやるほど問題が深掘りされ、やってもやっても終わらない状態になるが、重要度は増していく」という、情報セキュリティ担当者誰もが抱く思いも吐露した。こうなると「持続可能な体制と持続可能な取り組みを作っていかなければならないが、定期的に人事異動がある日本の行政ではそうした取り組みが苦手。うまく民間の人材や知見を取り込んでいく必要がある」(同氏)。

 その上で会場の参加者に対し、「(これまでの取り組みは)まだ不十分で納得いかない点もある。もっともっと踏み込んで行かなくてはならない。皆さんの意見をインプットし、中身をどう厚くしていくか、ぜひ一緒に考えていきたい」と締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -