【ネット時評 : 関啓一郎(内閣官房情報セキュリティセンター)】
情報セキュリティ新戦略――第2次基本計画の策定に向けて

seki2.jpg
 
 情報セキュリティ問題を俯瞰(ふかん)したわが国の中長期的な戦略である「第1次情報セキュリティ基本計画」が、今年最終年度を迎える。現在、その後を受ける新たな戦略を策定すべく作業が進んでいる。そこでの議論について、このコラムでリポートしたい。
 

第1次情報セキュリティ基本計画(2006~2008年度)の概略

 2006年2月、情報セキュリティ政策会議(議長:内閣官房長官、以下「政策会議」)において、2006年年度から2008年度の3年間を対象とする第1次情報セキュリティ基本計画(以下「第1次基本計画」)が決定された。

 この第1次基本計画は、「ITを安心して利用可能な環境」の構築を基本目標とし、セキュリティ立国の思想に基づく「情報セキュリティ先進国」構想を掲げた。そして、世界一安全な国としての「ジャパンモデル」の確立と「新しい官民連携モデル」を作り上げることを目指した。

 そのための枠組みとして、政府や地方公共団体、企業や個人といった「対策実施主体」、教育・研究機関やIT企業、メディアなど「問題の理解・解決を促進する主体(対策支援主体)」とを挙げ、それぞれの役割・連携を強調するとともに、全体に関係するものとして、横断的情報セキュリティ基盤の形成をうたっている。横断的情報セキュリティ基盤というのは、技術戦略、人材育成、国際連携、犯罪取り締まりや権利保護などついての総合的な取り組みを指す。

 また、政策を推進していくうえでは「持続的改善構造」を重視し、下記の内容が盛り込まれた。

・年度計画「セキュア・ジャパン」の策定とその実施状況の評価・公表
・年度途中での新たなリスク要因や想定し得なかった事故、災害や攻撃の発生等、緊急事態への対応
・評価指標の検討とPDCAサイクルによる政策の自律的改善
・計画の3年毎の見直し

 こうした第1次基本計画の下で「政府機関の情報セキュリティ対策のための統一基準」、「重要インフラの情報セキュリティ対策に係る行動計画」など、個別分野に係る方針が政策会議により決定されている。


情報セキュリティを巡る環境の変化

 この3年間で、セキュリティをめぐる環境は大きな変化を遂げてきている。

(1)ITへの依存の高まり

 「ITなしの社会」を論じるのは「車なしの社会」を論じるのと同じだ。新しい技術は、利便性・効率性をもたらす一方で新たな危険を招く。危険だからといって使わないという選択肢は非現実的である。ITもリスクを受け入れて使わなければならない。

 まず注目すべきはITの利用面での進化だ。企業において、かつてITは単純作業の効率化に利用されていたが、現在は販売・広告の手段や、企業内外の情報の蓄積・分析など経営判断を含む頭脳労働の補助手段として活用されている。企業によってはその活動全体がITで成り立つ状況となっており、情報セキュリティ対策の重要性が増している。

 そしてネットワーク化による影響。上記のような進化はネットワーク化によって支えられている。企業内だけでなく、取引先・顧客も含めてネットワーク化が進んでいるため、一企業のシステム障害が広く関係企業に影響し、損害を与える可能性がある。インターネットの普及は言うまでもなく、ASPやサプライチェーンマネジメントなどにより、企業内に閉じていたネットワークの外部との接続は不可避となった。システム障害の例として、証券取引所、航空機等の予約、鉄道の自動改札システムなどが記憶に新しい。

(2)脅威の変化

 コンピュータウイルスやファイル共有ソフトに起因する情報の流出が依然として続き、不正アクセスやインターネット利用犯罪も年々増加傾向にある。政府機関や企業においては、従来のホームページの改ざんやウェブサーバーへのDoS攻撃(不正なデータやパケットを大量に送りつけ、サービス停止や機能の低下を発生させる攻撃)といったものに加え、マルウエア(ウイルス、ワーム、トロイの木馬、ボットなどコンピュータに感染し、不正な動作を行うプログラムの総称)を添付したメールを特定の組織、企業へ送付して重要情報を盗み出すものや、攻撃を予告して企業を恐喝するケースも発生している。そして、その目的は愉快犯的なものから経済的利得を狙うものへと変化してきている。

 さらに個人利用においては、ファイルの破壊など、直接目に見える障害が起きないため感染の検出が難しく被害が認識しづらい「ボット」の感染が依然として継続している。これはパソコンを感染させて自分の目的に使用するものである。多くのパソコンをボット化して自由に操ることにより、迷惑メール(スパム)を送る踏み台として使う、DoS攻撃に用いて恐喝するなど、不正な利益を得る手段となることが多い。

(3)企業の社会的責任と適切な企業統制

 不祥事は経営責任と企業の存続に関わる致命的な問題を引き起こす。情報セキュリティに限られるものではないが、企業のブランドと信用の維持のために、的確な対策が不可欠となっている。

 また、日本版SOX法・新会社法により、従来よりも企業の内部統制が重視され、適正手続きの担保により不正防止を図ろうとしている。手続きの適正さを証明する役割がITに期待されており、情報の流出・改ざん、システム障害対策などの情報セキュリティが求められているのだ。


第2次基本計画の策定に向けた検討

 第1次基本計画の下で、官民挙げて情報セキュリティの向上に努力し、わが国の情報セキュリティレベルは向上したと言える。

 他方、情報セキュリティをめぐる環境は変化し続けている。また、政府機関における情報セキュリティ事故、重要インフラにおけるIT障害の発生も後を絶たず、企業などにおける情報セキュリティの具体的な対策や体制作り、人材の確保といった面でも解決すべき課題が多く残されている。

 そこで、これまでの取り組み、技術革新や制度改正等を含めた社会環境の変化などを踏まえ、09年度からの情報セキュリティ政策の在り方・方向性について検討を行うため、政策会議の下に、07年12月に「基本計画検討委員会」(以下「検討委員会」)を設置して、1月より議論を開始した。

 今年12月に案を政策会議で決定し、パブリック・コメントの募集を経て09年2月に次期情報セキュリティ基本計画(以下「第2次基本計画」)を同会議で最終決定する予定である。


「次期情報セキュリティ基本計画に向けた第一次提言」

 6月19日に開催された政策会議において、検討委員会の中間的取りまとめである次期情報セキュリティ基本計画に向けた第一次提言(以下「第一次提言」)が報告された。

 これは、第2次基本計画の基本理念など、いわば「総論・哲学」に関する検討結果だ。その主要点は次のとおりである。

(1)第1次基本計画からの「継続」と「発展」

 この提言では、第2次基本計画は第1次基本計画の「継続」とともに「発展」の側面を併せ持つべき、としている。第1次計画の下で成果が上がっている部分については引き続き継続して取組むとともに、改善すべき点は見直して発展を目指すものである。

 第1次基本計画で重点を置いていた事前予防の取組みに加えて、問題発生時に思考停止することなく、適切な対応(被害拡大防止や回復措置)を取ることを強調し、これを「『事故前提社会』への対応力強化」と呼んでいる。

 また、情報資産の重要性とリスクの的確な評価に基づいて、合理性を担保した形で最適な水準の対策を効果的・効率的に実施することが必要だとしている。ITはそもそも利便性・効率性のために用いるべきものであり、また費用対効果を常に考えるべきものであることも発展の側面として強調されており、これを「合理性に裏付けられたアプローチの実現」と呼んでいる。問題の発生に必要以上にこりてしまい、利便性・効率性を犠牲にしたり、コストを度外視したりすることを戒めるものだ。

(2)第2次基本計画の基本理念

 第2次基本計画の下での取組みにおいて重要なことは、無謬(むびゅう)性の追求ではなく、『冷静で迅速な対応、最適な水準の対策の効果的・効率的な実施と説明責任の明確化、主体ごとに求められる最適なセキュリティ水準を達成できる高品質や高信頼性、利用者にとっての安心・安全の確保』であるとしている。

 そして、より現実に即した実効的な情報セキュリティ対策が冷静に実現される「成熟した情報セキュリティ立国」を目指すべきだとしている。それを実現するために、ITにかかわる技術や制度の側面での対策に加えて、社会や国民の意識改革として「ITルネサンス」という言葉が登場する。ルネサンスという言葉を用いたのは、人間が必要以上にセキュリティ問題に振り回されず、むしろ、冷静かつ主体的にITを使いこなせるようになること(=「ITからの人間性解放」の実現)、最適な水準 のセキュリティ対策を実施することで、人間が“可能化装置”であるITを最大限使って、人間の英知に基づく様々なアイデアの実現が可能化・ 容易化されること(=「ITによる人間性解放」の実現)という思いを寄せたからだ。

 その上で、私たちは自国の取り組みに自信を持って世界と協調し、IT先進国として相応しいイニシアティブを発揮していくべきであるとしている。


第2次基本計画に向けた今後の検討

 検討委員会ではこれまで「総論」部分に関する議論が中心であったが、今後は来年2月の第2次基本計画の決定を目指し、「重点政策」すなわち「各論」部分の検討を進めていくことになる。


「次期情報セキュリティ基本計画に向けた第1次提言」(PDFファイル)http://www.nisc.go.jp/active/kihon/pdf/jiki1teigen.pdf

 (文中意見にわたる部分は筆者の個人的見解である。)

<筆者紹介>関 啓一郎(せき けいいちろう)
内閣官房情報セキュリティセンター総括担当・内閣参事官(官房副長官補付)
1983年 東京大学法学部卒、当時の郵政省に入省。その後、通信政策局政策課課長補佐、事務次官付、国際経済研究所ワシントン事務所長、マルチメディア振興室長、官房主計課調査官、内閣官房内閣参事官(IT戦略本部担当)、情報通信基盤局国際経済課長、自治税務局固定資産税課長などを経て現職。主な著作は、「米国における放送『やらせ事件』と通信法の改正」、「通信・放送の多様化と制度上の課題」、「情報通信の不適正利用とその対策」、「ネットワークにおける発信者の匿名性について」、「英国の競争政策-インターネット政策を中心に」、「情報セキュリティ政策の現状と課題」など。

トラックバック

このエントリーのトラックバックURL
http://www.nikkeidigitalcore.jp/cgi-bin/mt/mt-tb.cgi/267

コメント一覧

メニュー