政府の情報セキュリティ政策の基盤整備が急ピッチで進んでいる。わが国の情報セキュリティ政策の中核となる中長期戦略「第1次情報セキュリティ基本計画」(仮称)が今年12月に策定される。各府省が実施すべき「政府機関の情報セキュリティ対策のための統一基準(全体版初版)」と「重要インフラの情報セキュリティ対策に係る行動計画」(仮称)が同時に作成され、政府として取り組む情報セキュリティ対策が2006年にスタートする次期国家IT戦略(策定中)に合わせて動き出すことになる。(ジャーナリスト 千葉利宏)
政府の情報セキュリティ政策は、04年4月に内閣官房に民間から情報セキュリティ補佐官が任命されたあと、7月に情報セキュリティ基本問題委員会が設置されて、グランドデザインの検討が進められてきた。同委員会が11月に出した第1次提言では、政策全般の実行体制の見直しと、政府自身の情報セキュリティ対策の強化を、今年4月の第2次提言では電力や金融など重要インフラの情報セキュリティ対策の強化を求めた。これを受けて内閣官房の情報セキュリティ対策推進室を大幅に機能強化した情報セキュリティセンター(NISC)を4月に、関係閣僚と民間委員で構成する政策決定機関として情報セキュリティ政策会議を5月に設置。当初は、基本問題委員会で個人や企業が取り組むべき情報セキュリティ対策に関する第3次提言を行う予定だったが、政策会議の下にセキュリティ文化専門委員会などを設置して、改めて検討を進めることになった。
情報セキュリティ政策会議では2回の会合を開き、冒頭に紹介した「第1次情報セキュリティ基本計画」(仮称)、「政府機関統一基準」、「重要インフラ新行動計画」の3つを年内に策定することを決めた。このうち政府機関統一基準は、9月に緊急度の高い対策を盛り込んだ「2005年項目限定版」をリリース。これに基づいて12月までに各府省で現状の実態調査を実施して対策を講じていくことになった。
限定版で取り上げられた主な対策は、情報の格付けと取り扱い制限に関する手順の整備、情報の持ち出しなど制限事項の強化、一定の情報システムに対するアクセス制御・ログ管理機能の導入、ネットワーク不能攻撃(DoS攻撃)対策の実施などである。これら対策の実施状況は、NISCが来年3月までに検査を実施して、情報セキュリティ政策会議に報告を提出。各府省に対して政策会議から勧告を行うことで、PDCA(Plan・Do・Check・Action)サイクルの確立を目指していく。
さらに12月には、システムの開発・整備に関する対策項目などを追加した政府機関統一基準の全体版初版をリリース。ウェブサーバーの設置や、モバイルパソコンの管理など具体的レベルでの対策を支援する個別ガイドラインのリリースも順次スタートする。各府省では、共通21分野、個別55分野の情報システムについて業務・システム最適化計画の策定作業を進めており、来年度からはシステム開発に本格的に着手する段階に入る。これに全体版初版のリリースタイミングを合わせることで、システム開発段階から統一基準を反映した情報セキュリティ対策を講じていく考えだ。
今後注目すべきポイントは、セキュリティ文化専門委員会での議論と、その内容が基本計画にどのように反映されるか。インターネット上ではフィッシングなどの詐欺事件も多発し、自殺サイトといった社会問題にも関心が高まっている。匿名性の高いインターネットでのセキュリティのあり方として「実名性を高めるべき」との意見もあるが、反対の声も多い。政府としてどの方向に進むのか。国民としても注視していくべき問題である。
