 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
【Network Security Forum 2005】 |
||||||||||||||||||||
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
|
||||||||||||||||||||
山崎氏は情報セキュリティに政府としてどのように取り組むのかという課題について、内閣官房の機能を強化して、しっかり政府全般として統合的な対応をとっていかないといけないという議論が大きく湧き上がった中で、自身も内閣官房情報セキュリティセンター(NISC)を作るという仕事を行なってきた。現在は「新しくできた組織(NISC)で、一番最初のプロジェクトに取り組んでいるところ」と経緯を説明した。 山崎氏は2002年から情報セキュリティ分野に関わっているが、当初は情報セキュリティの必要性に対する認識は非常に低かったと述べた。2003年1月のSQL Slammerによる被害や、8月のBlasterウイルスによる被害拡大に伴い、徐々に認識が高まってきたという。山崎氏は自らの仕事について、少し先を見て、日本にとって必要な対策を考え、重点投資を行なうことの重要性を訴えていくことだと述べた。 ● 守りのセキュリティから、攻めのセキュリティへ
「そのような現状の中で、“攻めのセキュリティ”が希求されている。情報セキュリティは追加コストではなく、セキュリティ対策をすることが組織の価値を高めるのだという、攻めのセキュリティにどうやったら変質していくのかということに関係者の意識が変わり始めている」と状況分析した。 また、情報セキュリティ対策は、国家の安全保障の問題でもあり、テロ対策や治安の維持に関わっている。日本でも従来型の安全保障で考える傾向にあるが、「個人的には、情報セキュリティを中心として、新しい安全保障の概念を政府の中でも確立していかなければならないと考えている」とした。 内閣官房情報セキュリティセンターでは、IT戦略本部の決定を受け、情報セキュリティ問題に関する政府中核機能の強化に向けて機能・体制などを整備している。 山崎氏が所属し基本的な戦略を立案する「基本戦略立案」、政府機関に対して統一基準を提示し、その統一基準に対して対策ができているか精査・評価し、勧告までする「政府機関総合対策促進」。そして「事案対処支援」、「重要インフラ対策」、さらには各国政府との関係を仕切る「国際戦略」のチームに分かれる。 ● 民間の企業や組織も「政府機関統一基準」を利用してほしい 「政府機関」の対策の一番大きな対策として行なっているのが「政府機関の情報セキュリティ対策のための統一基準」(略して、政府機関統一基準)を挙げた。政府機関統一基準は、各省庁の情報セキュリティ対策について共通部分の抽出を行ない、可能な限り具体化したものを提示していく形になるという。この政府機関統一基準のもとで、内閣官房情報セキュリティセンターが各省庁の情報セキュリティを評価し、だめなところは勧告していくというサイクルを作っていく。また、山崎氏は「(政府機関統一基準は)我々の思いとしては政府だけのものとしてではない。各企業、各組織でも利用してほしい」とした。 「重要インフラ」については、9月に「重要インフラの情報セキュリティ対策に関わる基本的考え方」を政策会議決定している。12月には「重要インフラの情報セキュリティ対策に関わる行動計画(仮称)」を策定する予定という。重要インフラ分野としては、「情報通信」「金融」「航空」「鉄道」「電力」「ガス」「政府・行政サービス」に加え、「医療」「水道」「物流」を加えた10分野を設定した。さらに、想定する脅威を「サイバー攻撃」に加え、人為的ミスなどの「非意図的要因」「自然災害」へと拡大させた。 新たな体制の構築として、(1)重要インフラ横断的機能の強化、(2)情報セキュリティ水準の向上、(3)情報共有・提供体制の強化、(4)分野横断的演習の実施を柱としている。 一方、「企業」「個人」への対策では、11月に「セキュリティ文化専門委員会」が報告書を提出。企業には「セキュリティ対策が市場評価につながる環境の整備が必要」とし、「企業の情報セキュリティリスクの明確化に向けた取り組みも必要」だとしている。 「個人」については、「当たり前のことが認識できる環境の整備」が必要とした。一般の安全意識である「知らない人にはついていかないや、道に落ちているものを食べないなど、一般の安全意識と同じような情報セキュリティの意識を個人がどう持つか、その環境整備が必要」という。そのためには教育が必要だとした。
● まず法規制ではなく、個々の意識向上を 政府全般の計画としては、「セキュリティ文化専門委員会」、「技術戦略専門委員会」の結果を踏まえて、第1次情報セキュリティ基本計画を、12月の第3回の情報セキュリティ政策会議に向けて検討中の段階という。12月中旬の第3回の情報セキュリティ政策会議に、第1次情報セキュリティ基本計画のパブリックコメント案を提示し、そこで了承されれば、即日パブリックコメントを実施する予定で、「加えて、政府機関の統一基準の全体版、さらには重要インフラの行動計画を、会議にかけ、最初のプロジェクトの初めの大事な区切りとしたいと思っている」とした。 最後に、山崎氏は「情報セキュリティ対策を促進するには、法律で義務づける必要もあるのではないかという議論がある。まずは法律で規制をして、セキュリティ対策の促進になるというのではなく、理想論になるかもしれないが、各主体が自主性を持って、特に企業・個人、または重要インフラが対策を行なって、それが総和となって我が国の強みとなることが、将来的に見ていい結果になると思っている」と個々の組織や個人の意識向上が重要であると強調。 「法律でやるというのではなく、自主的な各組織の取り組みが適切な形で進んでいくことを期待している。そのために、道具はなるべく多く公開・提供し、うまく参考にしてもらいたい。政府が出過ぎるのはよくない分野だと思うが、まずは政府が市場を活性化するという視点から範を正すということでやっていく。そういった視点から、サプライサイド、ユーザーサイドの対策を図ってもらえればうれしい」と述べて講演を締めくくった。
関連情報 ■URL Network Security Forum 2005 http://www.idg.co.jp/expo/nsf/ 内閣官房情報セキュリティセンター http://www.bits.go.jp/
( 遠藤 剛 )
- ページの先頭へ-
|
