情報セキュリティに関する2つの制度が相次いで動き出した。昨年12月に第1号の認証が行われた「ITセキュリティ評価・認証制度」と、今年1月からパブリックコメントの募集が始まり、今年度中に創設される予定の「情報セキュリティ監査制度」だ。「情報セキュリティの確保にとって、技術的な対応とマネジメント的対応はまさに車の両輪。2つの制度が動き出すことで、その両輪が揃うことになる」（経済産業省商務情報政策局情報セキュリティ政策室・山崎琢矢課長補佐）。今後はこの2つの制度を軸に情報セキュリティ対策もいよいよ本格普及の段階へと入る。

2つの制度がスタート

　経済産業省では、率先して2003年度から情報セキュリティ監査制度を導入する方針を打ち出しているほか、中央省庁全体でも、情報セキュリティ監査の導入などの対策への取り組みが喫緊の課題として認識されているところだ。また、今年8月には、住民基本台帳ネットワークシステムの第2次稼動が控えているだけに、地方自治体でも情報セキュリティ対策への取り組みが一段と活発化することは間違いないだろう。さて、2つの制度とはどのようなものか。まず、ITセキュリティ評価・認証制度から紹介しよう。

　同制度は、国際標準化機構（ISO）が定める「ISO/IEC 15408 ITセキュリティ評価基準」に基づいてハードやソフトのIT製品やシステムの評価認証を行うものである。ISO/IEC15408は、ITセキュリティの観点から情報技術に関連した製品、システムが適切に設計され、その設計が正しく実装されているかどうかを評価する基準で、99年12月に国際規格として承認され、00年7月にはJIS（日本工業規格）化されている。

　「1月下旬に発生したワーム事件も、すでに配布されているパッチを適用しなかったことで被害が拡大した」（山崎課長補佐）と指摘されるように、コンピュータウイルスやハッカーなどによる不正アクセスの被害は、IT製品のセキュリティホールが狙われるケースが多い。情報処理振興事業協会（IPA）のセキュリティセンターへのコンピュータウイルスの届出件数は02年も01年に続いて2万件を突破し「高止まり状態が続いている」。

　こうした問題を予防するには、セキュリティホールのないIT製品を開発、導入することが効果的な対策のひとつとなる。すでに政府では、01年3月の行政情報化推進各省庁連絡会議で「政府はIT製品の調達の際に、可能な限り認証された製品等を調達する」ことを了承しており、今回の認証第1号でようやく対象製品が登場し始めたことになる。

　制度の仕組みは、品質管理・保証の国際規格ISO9000の認証を行うのと類似した枠組みとなっている。IT製品の評価・認証を行う「評価機関」は民間組織で、その評価機関が国際規格に準拠して評価しているかどうかを審査するとともに評価機関からの評価報告書に基づいて認証書を発行する「認証機関」は独立行政法人の製品強化技術基盤機構が担う。

　今回、評価機関として認められたのは、電子商取引安全技術研究組合研究所と、（社）電子情報技術産業協会ITセキュリティセンターの2機関。経済産業省ではこの評価機関を今後、さらに増やしていく考えだ。さらに来年には日本もISO/IEC 15408に関する国際相互認証にも加盟する予定で、日本で認証を受けたIT製品は海外でも国際規格に準拠した製品として販売することも可能となる。

　まだ認証された製品もリコーと富士通の各1製品だけ。電子政府や電子自治体の実現に向けて、システム構築作業も今後本格化するだけに、ITベンダー各社でも認証製品の品揃えを早急に充実していく必要がありそうだ。（ジャーナリスト　千葉利宏）