12日から開催されている「RSA Conference 2005 Japan」2日目の基調講演では、内閣官房情報セキュリティセンター(NISC)の情報セキュリティ補佐官を務める山口英氏が登場。政府の取り組みだけでなく、個人や企業に情報セキュリティ対策を実装する際の問題点などについて講演を行なった。
● 日本ならではの高度情報ネットワーク社会、セキュリティ対策も前例のない挑戦
|
NISCの情報セキュリティ補佐官を務める山口氏
|
「2000年、2001年のころのコンピュータは石器時代の遺物と思えるぐらい様変わりした」と山口氏。「現在のインターネットは、ニュースのチェックからスケジュール管理、ショッピングなど高度にインテグレーションされており、まさに、高度情報ネットワーク社会だ。こうした状況は、携帯電話やブロードバンドの高い普及率を誇る日本ならではの状況であり、セキュリティ対策でも、前例のないところで挑戦していかなければならない」と語る。
次いで、「高度情報ネットワーク社会はインターネットインフラへの依存性が高い。また、楽天に代表されるようなネット通販などによる電子的な財の交換が当たり前のようになっており、ネットワークはクリティカルインフラストラクチャになったと言える」と指摘。こうした状況下においては「システムだけでなく、情報資産や情報の処理、トランザクションを守り、ビジネスの継続を勘案したリスク管理が必要だ。単純なオペレーションミスや自然災害も考慮すべき」「エンドユーザーに安心感を与えるために、対象が守られていることや保護の度合いを可視化すること」を強調した。
「対象が守られていることを外部から見えるようにすることについては、公開しないほうが良いという考え方も依然としてある」とした上で、「守られている対象がわからなければエンドユーザーは不安に思うのではないか。守っていることが外に見えたとしても、そうした保護が破られないくらいの安全性が必要だ」と述べた。
また、セキュリティ対策が検証・比較可能であることも重要だという。「最終的にエンドユーザーに対して安心を与えられている取り組みであるのか、検証できることは当然だ。すぐにはできないが、さまざまなセキュリティ対策を比較可能な評価体制も構築する必要があるだろう」。
● 個人情報保護法施行後に“セキュリティ原理主義”はびこる
セキュリティ対策の重要性を訴える一方、「個人情報保護法施行後に“セキュリティ原理主義”がはびこっている」と指摘。「カスタマーは誰なのか。セキュリティ管理者のための運用はだめだ。まず、セキュリティありきでは、通常業務の効率が落ちることもあるし、管理者にとっては安心できても、エンドユーザーに安心感を与えられているのだろうか」と疑問を表わした。
「目標は『どんな時でも安定したサービスが提供されること』だが、必ずしもヘビーデューティに耐えるものではなくともいいのではないか。投資と利益のバランスでセキュリティを決めるべきだ。」
また、企業内ネットワークを「ビジネスインフラ」、ISPによるインターネット接続サービスのネットワークを「汎用性の高いインフラ」と定義し、それぞれのセキュリティ対策について「単にインターネットと一括りにしてしまうのではなく、別々の必要要素を考えるべきだ」とコメント。特に汎用性の高いISPに関しては帯域、遅延といった性能を追求せざる得ないため、性能に影響が出るセキュリティ対策を実施することが難しいと分析する。
「セキュリティ対策の全てをISPを頼るのではなく、エンドユーザーのマシンもインターネットという巨大な分散システムの一部として考えるべきだ。ISPはパケットの適切な中継、ユーザーは自分自身のマシンやネットワークの適切な運用管理、DNS事業者は名前空間資源の適切なマッピングなど、各プレーヤーが役割を分担し、責任を全うすることが大事になるだろう。」
各プレーヤーを巻き込んでセキュリティ対策を実装するには、「戦略も戦術もなくやるのは好ましくない。セキュリティに関わる知見や英知を共有するべきだ」とコメント。政府関連の取り組みとして、通信事業者の団体「Telecom-ISAC」や金融情報システムや電子商取引などの提言を行なう「FISC」などを例に挙げ、「経験から学び、現実の運用に活用することは、政府だけでなく企業や個人にとっても重要だ」と述べた。
今後の課題としては、携帯電話や無線LAN搭載のノートPCの普及による「システム防衛モデルの変化」、「定量的なリスク評価」、「エンドユーザーが制御可能なセキュリティ管理」などを挙げた。
● 情報セキュリティ政策を再構築、今後は複数の重要インフラ間で総合的な演習も
セキュリティ対策に続いて山口氏は、2004年5月から内閣官房情報セキュリティ推進室(当時)の補佐官として取り組んできた「政府の情報セキュリティ政策」について語った。
「政府は、情報セキュリティというと民間や社会の問題と思ってきたふしがある。2000年にWebサイトが改ざんされた時に構築した体制を放置してきた」。補佐官に就任した2004年と2000年ではインターネットの普及率をはじめ状況は大きく変化していたとし、「まずは情報セキュリティ対策を再構築するべきだと感じた」という。
「縦割り行政じゃダメ。納税者に説明できて、検証可能なセキュリティ対策でなければならない」と山口氏。「認識すべき問題点は、対策を実施する問題ではなく、どこに対策するかという課題設定の問題だった。例えば、課題を設定するキャリアは2年ごとに異動してしまう。すると2年経過したら政府は突然“記憶喪失”になってしまうのだ。如何に連続性を保つかを念頭に置いた」と説明する。
現状について山口氏は、まず、2004年7月に内閣のIT戦略本部に提言を行なう「情報セキュリティ基本問題委員会」を設置。情報セキュリティ基本問題委員会の直下に設置した2つの分科会から政府組織に関する第1次提言と、情報セキュリティに関する第2次提言を行なっていると述べた。
今後は、方針の決定と行動の中心となる体制を変更し、IT戦略本部に情報セキュリティ政策会議(仮称)を設置する予定だ。9名からスタートしたNISCも、7月には35名体制に、2006年は60名体制を目指すという。
「インターネットのような重要インフラについてはサイバーテロだけでなく、単純なオペレーションミスといった非意図的障害や、地震などの自然災害を想定する必要がある。また、今後は複数の重要インフラに跨る総合的演習も行なう予定だ。インシデントが発生した時も行政サービスが止まらないようにする。」
山口氏は最後に、「これまで政府には、総合的に情報セキュリティ政策を推進していくというファンクションがなかった。手続きを踏まなければいけないため歩みは遅いが、ようやく具体的な施策を打ち出せる体制ができた。今後はますます、納税者として皆さんの意見が必要になる。感性が鈍っている政府ではしようがない。皆さんが思っていることを伝えてほしい。また、ベストプラクティスの共有先に政府をぜひ加えてほしい」と会場に訴え、講演を締めくくった。
関連情報
■URL
RSA Conference 2005 Japan
http://www.medialive.jp/events/rsa2005/
■関連記事
・ 政府のセキュリティ対策拠点「内閣官房情報セキュリティセンター」開設(2005/04/25)
( 鷹木 創 )
2005/05/13 15:57
- ページの先頭へ-
|