事後対策とマネジメントにも目を向けたセキュリティ対策を――。経済産業省は、情報セキュリティ対策の総合的な方策をまとめた「情報セキュリティ総合戦略」を10月10日に発表した。その根幹を占める部分のひとつに情報セキュリティ対策のメインともいえる製品ベースの「事前対策」だけでなく、「事後対策」と「マネジメント」の観点からも情報セキュリティを考える必要性が示されている。両分野は、情報セキュリティにおける必要性が叫ばれていたものの、なかなか活発化していない分野である。今回、政府が定めた初めてのセキュリティ戦略の中で明確に定義されたことによって、企業は事後対策とマネジメント分野で早急に対策を講じなければならないだろう。（木村剛士●取材／文）

ウイルス対策から先の段階へ

■「日本特有の戦略を」

　「情報セキュリティ総合戦略」は、わが国が初めて取りまとめた、総合的な情報セキュリティの指標だ。経済産業省を中心に内閣官房、内閣府、総務省、防衛庁、警察庁の関係省庁もオブザーバーとして参加して策定。10月10日に発表された。

　山崎琢矢・経済産業省商務情報政策局情報セキュリティ政策室課長補佐は、「これまでのセキュリティ戦略は、欧米のセキュリティ政策を元にしたものが大半で、日本特有の戦略を立てる必要があった。また、情報セキュリティの定義が不明確で、統一性がない状況だった」と、その必要性を話す。

　ITが社会インフラとして成長した今、各企業や官公庁が情報システムのさらなる安全確保を進めることで、国際競争力を強化することが狙いだ。具体的には、（1）公的対応の強化、（2）各省庁の統一的な情報セキュリティの推進、（3）事故前提のITシステムの構築――という3つの枠組みを定め、42の具体的な対策項目が盛り込まれた。

　その一部に、とくに一般企業に関係が深い部分として、「事後対策」と「マネジメント」強化の2点が挙げられる。

　事後対策では、「100％守れるという対策はない。事故は起こり得るものと仮定して情報システムを構築する必要がある」（山崎課長補佐）ことから、迅速な復旧や被害の最小化を図れるシステム構築が必要であるとした。

　また、マネジメントでは、「技術とマネジメントの両輪からシステムを構築する必要がある」（同）と、製品や技術ベースの対策だけではなく、情報システムや社員の情報の扱い方などの管理（＝マネジメント）についても、対策を施す必要性を明確に示す。

■セキュリティレベルの底上げへ

　この分野においては、経産省はすでに、企業のシステムや社員の情報の安全な取り扱いを評価・認証する「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」や「情報セキュリティ監査制度」を設けており、マネジメントレベルの強化を進めている。だが、マネジメントに対する評価制度の普及状況は、「海外に比べて極めて遅い」（山崎課長補佐）というのが実情だ。

　現在のセキュリティ対策のメインは、事前予防策のウイルス対策やファイアウォールになる。事後対策やマネジメントは、ここ数年徐々に普及してきているとはいえ、ウイルス対策などに比べると、活発化しているとは言えない状況だ。

　山崎課長補佐は、「情報セキュリティ総合戦略は、国際的なレベルから見ても、最低限実施すべき内容であり、対策は急務」と、日本のセキュリティレベルの底上げの必要性を強調する。

　詳細は今後詰めていかなければならない部分が多いが、企業のセキュリティレベルがどのレベルにあるかを格付けする仕組みなども検討段階にあるという。

　各企業が情報システムに対してどのような高度なセキュリティ対策を施しているかが、今後、各企業競争力にもつながってくる。