わが国の情報セキュリティ問題に関する中核機関(ナショナルセンター)として、内閣官房情報セキュリティセンター(NISC)が4月25日に発足した。センター長には、柳澤協二・内閣官房安全保障・危機管理担当副長官補が就任、副センター長(内閣審議官)2人、山口英・情報セキュリティ補佐官を含めて、今年7月の第1次稼動時にはスタッフ35人程度を確保。今後は、情報セキュリティ基本問題委員会(金杉明信委員長=NEC社長)が4月22日に公表した重要インフラの情報セキュリティ対策のあり方に関する第2次提言などを踏まえながら体制整備を進め、2006年度早々には、60人体制として本格稼動を目指す。(ジャーナリスト 千葉利宏)
[画像をクリックすると拡大表示します]
IT戦略本部の情報セキュリティ専門調査会では、昨年7月から基本問題委員会を設置して情報セキュリティ政策の検討を開始、昨年10月にNISCの設置構想を盛り込んだ第1次提言を公表した。わずか半年でNISCが動き出したわけで、役所としては異例のスピードと言える。第1次提言では、NISCには「基本戦略立案」、情報セキュリティ安全基準の策定・評価を行う「政府機関総合対策促進」、サイバー攻撃などに対応する「事案対処支援」の3部門を設置するとしていたが、今回の第2次提言を受けて、重要インフラの情報セキュリティを推進する「重要インフラ対策」を加えた4部門で発足した。
まず喫緊の課題は、来年度予算の概算要求に向けて情報セキュリティ関連施策の重点事項を策定すること。予算要求は各省庁で行うが、NISCが事前に施策を重点化して全体の調整を図る役割を担うことになった。政府機関の統一的な安全基準も今夏までには策定して、各省庁に情報セキュリティ対策の推進を求めていく。基本戦略の柱となる第1次中長期計画の策定作業にも着手するなど、課題は山積みだ。
さらに重要インフラの情報セキュリティ対策については、第2次提言で対象範囲が大幅に拡大されたため、新たな対応が求められることになった。これまで重要インフラは、情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービスの7分野と定められ、対象となる脅威も主にサイバー攻撃に絞っていた。今回、重要インフラの定義も、「代替が著しく困難なサービスを提供する国民生活、社会経済活動の基盤で、その機能が停止、低下、利用不可能に陥った場合、多大な影響を及ぼす恐れが生じるもの」とし、情報セキュリティ上の脅威もサイバー攻撃に加えて、人為的ミスなどの非意図的要因や自然災害にまで拡大した。近年、大手銀行の合併にともなうシステム統合で大規模なシステム障害が発生したり、航空路レーダー処理システムのトラブルでメインシステムが停止したり、非意図的要因による影響が無視できなくなっているからだ。
「重要インフラにおいて発生する障害のうち、ITの機能不全が引き起こす障害を、新たに『IT障害』と定義して情報セキュリティ対策の充実を図っていく」(山崎琢矢・NISC参事官補佐)。具体的には、NISCや所管省庁などの政府機関と、重要インフラを管理・運営している民間事業者の間でサイバー攻撃やIT障害などの情報を共有・提供する体制を強化。重要インフラごとにISAC(情報共有・分析センター)を設置して、異なる重要インフラの間でも情報共有できる体制を整えたい考えだ。JR西日本の脱線事故後の対応をみても、当事者にとって障害発生情報の提供は消極的になりがち。それだけに、活発な情報共有・提供に向けて意識改革を図り、情報を提供しやすい環境を整えていく必要がありそうだ。
