「情報セキュリティ総合戦略」の策定研究会委員長など、土居範久・中央大学教授は、情報セキュリティに関するさまざまな国家レベルの施策に要として携わる。かねてから、「日本のセキュリティ対策の遅れ」を指摘してきた土居教授は、日本の現状をどのように捉え、どのようなビジョンを描いているのか。日本のセキュリティ戦略を学界から先導する土居教授の目指す方向性とは。

日本のセキュリティレベルの底上げへ、新たに「監査制度」スタート

　──ソフトウェア全般を専門とされていますが、最近では情報セキュリティに関する取り組みが目立ちます。日本の情報セキュリティの現状をどう見ますか。

　土居　わが国は、セキュリティというとタダ（無料）という考えを持っている人が海外に比べ圧倒的に多い。情報セキュリティに関してもこれは例外ではありません。最近は、海外諸国の情報セキュリティ対策の意識向上や情報漏えい事件に触発されて、確かに、セキュリティを意識する機運は高まっていますが、まだまだです。ITの利便性が向上し、ビジネスを進める上で情報システムが不可欠な要素に成長しているにも関わらず、経営トップが情報セキュリティに対する投資をなかなか増やさない状態が続いています。グローバルな観点から見ると、日本のセキュリティは極めて遅れており、深刻な状況です。


　──「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」の運営委員会委員長や、「ITセキュリティ評価・認証プログラム」の運営委員会委員長、さらには「日本セキュリティ監査協会」の会長を務めるなど、日本のセキュリティ評価・認証制度の策定および運営において、ほぼ全ての制度に携わっておられます。日本のセキュリティレベルをどのように底上げしていこうとお考えですか。

　土居　現在、IT製品やシステムの技術評価制度として、「ITセキュリティ評価認証制度」があり、各団体のシステムや情報に関する運用や管理まで網羅した制度として、「ISMS適合性評価制度」があります。日本のセキュリティ評価・認証制度の基盤となるのがこの2つの制度です。まずは、このような認証・評価制度の整備に力を入れてきました。「ISMS適合性評価制度」では、情報システムだけでなく、情報の管理、いわばマネジメント全般が評価の対象であり、国際的な整合性も図られています。わが国にとって初めてといっても過言ではない実用性に優れた評価・認証制度となっています。しかし、日本全体のセキュリティレベルの底上げのためには、これだけでは不十分です。「ISMS適合性評価制度」の認証を取得するためには、大きく分けて127項目、細かく分けると900以上のチェック項目をこなさなければなりません。そのためには、社内の人員もそれなりに確保しなければなりませんし、費用も馬鹿にならない。そうなると、財政難に苦しむ中小企業や地方公共団体は、認証を取得したくても手を出せないでしょう。これでは、日本全体のセキュリティレベルの向上にはつながらない。

　そこで、各団体がある一部分の監査を行い、ある一定部分だけを保証したり、または改善点の助言を与えるなど、「ISMS適合性評価制度」に比べて、容易に利用できる制度が必要だと判断しました。そのために、昨年4月から「情報セキュリティ監査制度」が開始されました。このような制度は過去に類がないものですから、普及や運営を促進するサポート役が必要だったので、昨年10月に支援団体としてNPO（民間非営利団体）の「日本セキュリティ監査協会（JASA）」を発足し、会長に就任しました。この制度を利用して、監査人からの助言を受け部分的に改善していき、その積み重ねで、最終的に「ISMS適合性評価制度」の認証取得などに結び付けてもらい、セキュリティレベルの底上げを図ってもらえればと思います。

　各団体は、このようなセキュリティレベルの向上に努めておかないと、対外的に信用・信頼を勝ち取ることができない時代になってくるでしょう。もし、認証を取得していなければ、取引先などが心配して案件が破談になる可能性もある。各団体には、もっと危機感を持って取り組んで欲しい分野なのです。認証制度では、ISOの9000や14000シリーズなどで「品質」、「環境」という部分が先行していますが、3番目として「セキュリティ」を位置づけて頂きたい。

内閣機能の強化が必要、「総合戦略」が1つの柱に

　──昨年10月に経済産業省が定めた「情報セキュリティ総合戦略」に関しても、策定研究会委員長として専門的、実務的観点から総合戦略の具体案を主導的な立場で策定しました。

　土居　情報セキュリティ総合戦略では大きく分けて、（1）事後前提システムの構築、（2）高信頼性社会の実現、（3）内閣機能の強化──の3つを柱に置きました。なかでも、民間企業には直接関係がないかもしれませんが、最も重要視すべきことは3つ目に挙げた内閣機能の強化なのです。海外諸国の内閣では、情報セキュリティに関する人材は、米国では800─1000人規模、お隣りの韓国でも200─300人は確保していると言われています。しかし、わが国の内閣官房で情報セキュリティの専任者は10人にも満たない状況です。まずは人員を確保し、国の情報セキュリティに1本大きな柱を立てる担い手として、成長させることが大事です。

　──「情報セキュリティ総合戦略」は、わが国初のセキュリティに特化した総合戦略となりました。

　土居　これまで、日本は情報セキュリティにおいて、何かが起こってからその都度、解決策を講じていた、言わばその場凌ぎの施策しかありませんでした。また、各省庁がバラバラで手掛けてきた。統一性がなかったわけです。そのなかで、「情報セキュリティ総合戦略」の策定が持つ意味合いは非常に大きい。今は漠然としたイメージを持つかもしれませんが、日本として足並みを揃え、セキュリティを強化する1本の柱が立ったわけです。この戦略をもとに、日本は今後、情報セキュリティを強化していくことになります。

　──ユーザーやセキュリティベンダーは、どこに力を入れていけば良いのでしょうか。

　土居　まずユーザー企業は、情報セキュリティに関する意識を高めることが大前提です。それぞれが保有する情報の重要性と責任を意識して、セキュリティを見つめ直す必要があります。制度や国の施策よりも、この意識の低さが実は最も日本が遅れていることですから。「ISMS適合性評価制度」などの制度を利用して、守るべき情報と守らなくてもいい情報を区別し、守るべきものにはきっちり投資する。組織のなかでは責任者を明確にして、セキュリティ対策を1つの業務として位置づけて欲しい。

　一方、ITベンダーは、ユーザーにセキュリティの啓蒙活動を進めていくとともに、セキュリティという今後ビジネスとして成長することが確実な市場で、新たなビジネスをさらに創出して欲しいと考えています。セキュリティでは、今はウイルス対策など、ある一部分にしか注目が集まっていません。ですが、今後はさまざまなニーズが出てくるでしょうし、ますます多様化し、広がりを見せる市場になります。各ITベンダーがさまざまなサービスを始めることで、より日本のセキュリティが高まり、海外諸国に負けない国力を持つことにつながります。

眼光紙背 ～取材を終えて～