「第1回　BCN フォーラム」を開催　経済産業省・山崎琢矢課長補佐が講演

ホーム
週刊BCN
解説
「第1回　BCN フォーラム」を開催　経済産業省・山崎琢矢課長補佐が講演

その他

「第1回　BCN フォーラム」を開催　経済産業省・山崎琢矢課長補佐が講演

2004/05/17 15:00

週刊BCN 2004年05月17日vol.1039掲載

　紙面では届けられない〝生の情報〟の発信を目的に、BCN（社長・奥田喜久男）は4月28日、「第1回BCNフォーラム」を開催した。第1回となる今回は、経済産業省商務情報政策局情報セキュリティ政策室の山崎琢矢課長補佐に登場を願い、「情報漏えい防止をはじめとしたセキュリティ対策のあり方」をテーマに、情報セキュリティ対策の現状や最新の政策動向などについて講演頂いた。今回の講演は、企業の情報セキュリティ対策を巡り技術や製品レベルにとどまらず、マネジメントにまで踏み込んだ対策や、事後対策の重要性を改めて認識させられる場となった。講演要旨は以下の通り。

マネジメントと事後対策重視の時代へ
セキュリティ対策の重要性を喚起

■情報セキュリティは、この2年で大きく変化

　情報セキュリティ対策の政策立案に携わって私も約2年が経ちますが、この2年間は、情報セキュリティの世界が大きく変化した時期であったといえます。昨年1月、韓国で大規模な被害を巻き起こした「SQL Slammer（スラマー）」の発生や、航空管制システムの障害事故など、さまざまな事件・事故が起こり、昨年8月中旬に発生した「MS Blaster（ブラスター）」は最も大きなインパクトを与えました。

　加えて、ソフトバンクBBの顧客情報流出をはじめとする個人情報漏えい事件が多発していることにより、外部アタック対策だけでなく、内部情報漏えい対策も企業は迫られています。

　これらの事件・事故は、企業や個人の情報セキュリティの意識レベルを急速に向上させました。世界的にも2001年9月11日の米同時多発テロ発生以降、セキュリティの重要性は強調されていますが、日本でも安心や安全、セキュリティという言葉は時代のキーワードになってきています。

　情報セキュリティ対策は、もはや推奨からコンプライアンス（法令遵守）になりつつあり、企業の経営問題へと変化してきた時代になったといえます。

　しかし、重要性は認識されてきたとはいえ、ユーザーの情報セキュリティに対する投資という観点からすると、ITベンダーなどのサプライサイドの機運の盛り上がりに比べ、まだまだ進んでいなく、供給側とユーザーの需要バランスが取れていないのが現状ではないでしょうか。

■セキュリティ補佐官を内閣官房に設置

　政府・自治体の情報セキュリティ対策をみても、残念ながら動きはまだまだ遅い。政府や自治体が保有する情報を、さらに安全に扱うシステムや管理体制の強化は、これからも積極的に進めていかなければなりません。

　政府の情報セキュリティ対策は、03年4月を境に第2フェーズに入っている状況です。03年4月以前は、電子政府を安全に運用させていくための「電子政府イニシアチブ」を進めていました。電子政府を安全に構築・運用するためには、どのような暗号化技術や製品・サービスを採用し、安全に運用するための組織体制は何かなどの基準を定めていた時期です。

　その後、03年4月以降は、国際標準を意識しながら日本独自の情報セキュリティ対策の在り方を追求している段階です。

　日本特有のセキュリティ対策を考えた時に、政府として今力を入れているのが事故前提のセキュリティ対策を施せる基盤作りです。というのも、100％の対策を施すのは不可能だからです。

　ウイルスに感染した人が悪い、個人情報を漏らした企業が悪いといった考え方ではなく、その後の復旧やリスクマネジメントの体制を官民が連携して作る必要があると思います。そのために、OSの脆弱性情報流通の枠組みなどもIPA（情報処理推進機構）などと協力して作りました。

　政府としては、これまで経済産業省や総務省、文部科学省など各省がバラバラで手がけてきた情報セキュリティ対策を、統一性をもって展開する体制を構築していきます。まずは、情報セキュリティ対策についての助言を与える立場として、内閣官房に情報セキュリティ補佐官を設置しました。各省がバラバラで手がけてきた情報セキュリティ対策に関する施策をまとめる中核的存在となります。

　この補佐官を中心に、まずは政府全体の情報セキュリティ対策を統一的に進めていき、その後に民間企業とも連携しながら施策を展開できればと考えています。

■技術・製品からマネジメントレベルへ

　では、企業においては今、どのようなセキュリティ対策を講じなければならないのか。それは、昨年10月に発表した「情報セキュリティ総合戦略」でも明確にしていますが、これまでの技術・製品レベルだけではないマネジメントまで踏み込んだセキュリティ対策と、事故を前提とした事後対策の強化です。

　マネジメント分野では、「ISMS適合性評価制度」や「情報セキュリティ監査制度」を活発に利用して頂き、監査人の評価や保証、助言を得て社員や組織のマネジメントまで網羅したセキュリティ対策を進めて頂きたい。

　ISMSと情報セキュリティ監査制度の違いを良く聞かれますが、情報セキュリティ監査制度は企業のニーズに応じて使えるものであり、ISMSはセキュリティのマネジメントサイクルが回っているかどうかを評価・認証する制度です。投資や時間などの問題でISMSの取得には手を出せないが、ある特定分野のセキュリティ対策の評価・保証を受けたい場合などに利用できるのが監査制度です。何度か監査制度を受け、保証や助言を繰り返し得ることで、ISMS認証の取得につなげていくといった活用方法ができると思います。

　企業は、技術とマネジメントを組み合わせた予防と、事後対策の双方に対策を講じる必要があります。製品やサービスを付け焼刃で導入するのではなく、各企業がセキュリティ対策のロードマップをしっかりと描き、トータルでの対策を講じなければなりません。さらに、万が一事故が発生してしまった時のリスク分散の方法や、システム構築に当たってのベンダーとの契約規定の明確さなども求められてくるでしょう。