 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
JNSA下村事務局長、米の国家規模セキュリティ戦略を語る |
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
今回の講演は、2003年7月28日~8月1日にかけて米国政府のセキュリティ関連機関を歴訪した視察団の報告に基づいたもの。視察団では、中央大学教授・慶應義塾大学名誉教授の土井範久氏を団長に、米国における情報セキュリティの取り組みや、米国の問題意識と対処方法を調査したという。 下村氏はまず、「日本で脆弱性というとサイバーセキュリティのことが頭に浮かぶが、米国ではむしろ物理的なテロなどの危険性を指す」と米国と日本のセキュリティに対する意識の違いを語った。米国では2002年春に、大統領直属の機関Homeland Security Council(HSC:国土安全保障会議)と、Department of Homeland Security(DHS:国土安全保障省)を設立。国家主導で、物理的なテロからサイバーセキュリティまでを網羅するセキュリティ対策の構築に努めており、「問題意識は強烈」だ。 ● セキュリティ対策の方針を決めるHSC、実行する巨大組織DHS
HSCの調整した政策を運用するDHSは、サイバーテロを防ぐツールなどを開発する「Sceience and Technology」部門をはじめ、「Infomation Analysis and Infrastructure Protection」「Border and Transport Security」「Emargency Preparedness」といった5部門で構成。18万人のスタッフが勤務する巨大組織だ。 DHSの特徴は、これまで複数の省庁で設立していたセキュリティ対策機関を1つにまとめたことだ。例えばInfomation Analysis and Infrastructure Protection部門では、商務省のCritical Infrastructure Assurance(CIA)、国防省のNational Communications Systems(NCS)、FBIのNational Infrastructure Protection Center(NIPC)、エネルギー省のEnergy Security and Assurance Program(ESAP)、連邦調達庁のFederal Computer Incident Response Center(FCIRC)を統合した。同部門では、National Cyber Security Divisionを新設し、60名のスタッフが24時間体制で、脆弱性の分析、情報の収集・共有、インシデント対応などを行なっている。 また、DHSでは2003年9月に、CERT/CCと連携する機関US-CERTを設立。こちらでは、「脆弱性発見から30分で対処方法を見つけ出す」という。 ● セキュリティ関連の施策を実行するための問題は…… 大統領直属のHSCはDHSの運用が軌道に乗れば廃止する予定だ。ただし、セキュリティ関連のグランドデザインを決定する役割を担うHSCでは、現状の問題も認識しているという。下村氏は「民間との協調関係の構築、人材の確保、国際協力など」の問題を挙げた。米国では重要なインフラの90%を民間が所有。「9.11以降は国家主導の安全保障に対する熱意が高まった時期もあったが、現在では反対に、経済的に負担の大きいセキュリティ事業を民間が行なうのは難しい」と分析。あくまで「自分のためのにセキュリティ対策を実施するよう訴えている」という。また、人材についても、「部署の管轄はまとめたが、その部署で働いていた人材は元の省庁に在籍したまま」と優秀な人材の確保が難しいことを語った。 国際協力の問題では、「日本は、セキュリティについてはスタートしたばかり」としながらも、「誰に何を話していいのか分からない印象だと指摘を受けた」という。「2003年9月に日米情報セキュリティフォーラムを開催した際も、DHSやHSCに相当する国内の部署を探すのに苦労した」と述べた。 ● FBI、国防省、商務省もセキュリティ対策機関を設立
FBI InfraGuardは、民間人の協力を多く得ていることから草の根的な活動を行なう。DISAでは、サイバーセキュリティに焦点を合わせ、独自のウイルスシミュレーションなどの演習を通じてより実践的な対策を行なうという。また、これまで紹介した機関がセキュリティ上の危機に直面した際に防衛することが主だった役割だったのに対し、NISTは、危機を発生させないような規格などを策定する部署だ。下村氏は「(NISTは)日本でいうと、経済産業省の製品評価技術基盤機構(NITE)。ちなみにNITEには約5名が在籍している」として米国との大きな差があることを示した。 ● 日本の状況は、米国の5年前と同じ
続いて「米国は脅威に対して、センシティブに反応、ダイナミックに行動して国家主導の環境を作り、試行錯誤しながらも進んでいる。まず日本は“どこに、何が、誰が”という責任の所在を明確にすることが大事。経済産業省の『情報セキュリティ総合戦略』といったプランも現われてきたが、省レベルではなく国家規模でグランドデザインを作成し、国民的コンセンサスを得る必要がある」と語り、講演を締め括った。 関連情報 ■URL Network Security Forum 2003 http://www.jnsa.org/nsf2003/ Security Solution 2003 http://expo.nikkeibp.co.jp/secu-ex/ 日本セキュリティ協会(JNSA) http://www.jnsa.org/ ■関連記事 ・ 経産省、世界最高水準の信頼性を目指す「情報セキュリティ総合戦略」(2003/10/10)
( 鷹木 創 )
- ページの先頭へ-
|
