社会基盤としてのITを利用するための情報セキュリティ政策とは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 社会基盤としてのITを利用するための情報セキュリティ政策とは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

関 啓一郎 内閣官房情報セキュリティセンター参事官総括担当に聞く
「社会基盤としてのITを利用するための情報セキュリティ政策とは」

内閣官房情報セキュリティセンター参事官 総括担当
関 啓一郎
「社会基盤としてのITを利用するための情報セキュリティ政策とは」

 ITは1990年代後半から社会基盤として日本に浸透し、あらゆる場面において欠かすことができないものとなった。だがITを活用する上で、情報セキュリティの問題は常にリスクとして存在し続ける。そのような状況下、2005年4月に政府は、日本における情報セキュリティ政策の遂行機関として「内閣官房情報セキュリティセンター(NISC)」を設置した。

 NISCの参事官を務める関啓一郎氏は、「IT化は今後さらに進むため、情報セキュリティの重要性はますます高まっていく」と語る。そこで同氏に、政府が示している情報セキュリティ政策を軸に、日本における情報セキュリティの“これまで”と“これから”についてお話をうかがった。

情報セキュリティのこれまで

―これまで関さんが携わった業務、それからNISCでの業務について教えて下さい。

内閣官房情報セキュリティセンター総括担当参事官 関啓一郎氏
内閣官房情報セキュリティセンター総括担当参事官 関啓一郎氏
関氏 情報セキュリティとは畑が違いますが、以前は総務省で固定資産税課長や、国際経済課長をしておりました。その前にはIT担当の内閣参事官として、e-Japan戦略II*1にかかわっていました。
 現在は、内閣官房に置かれたNISCの基本戦略立案と国際戦略の2つのグループを担当しております。NISCには、基本戦略立案、国際戦略、政府機関総合対策促進、事案対処支援、重要インフラ対策、5つのセクションがあります。私以外には、政府機関総合対策促進、事案対処支援に各1人、重要インフラに、2人の計5人の参事官がいます。


―日本の「情報セキュリティ戦略」が成立した経緯について教えてください。

関氏 1990年代後半頃、世界中の先進国が“IT推進による情報革命”を達成しようという気風から、国家的な「IT戦略」を次々と打ちたてていきました。
 1996~1997年にWindowsが普及してから、一般の人もPCを使うようになったのですが、ITの利用と言っても、当時は米国も欧州も日本もまだインフラができていない状況で、インターネットは遅くて高い、非常に使い勝手が悪いものでした。車で例えて言うと高速道路がない状態ですね。そこでまず“高速道路”を作ろうということで、ブロードバンドを普及させました。
 しかし高速道路ができて利活用が活発になると暴走族や交通事故、つまりウイルスやシステム障害が起きるようになるわけです。そこでITを普及させる段階から、ITを安全に安心して利用する「情報セキュリティ」を議論する運びになりました。

内閣官房における情報セキュリティ政策の主な流れ
内閣官房における情報セキュリティ政策の主な流れ(クリックすると拡大します)

―確かに2000年前後にかけて、急速にインターネットが普及した感があります。2000年1月には省庁のホームページが改ざんされる攻撃を受けたように、サイバー犯罪も顕著化するようになりましたが。

関氏 ホームページ改ざん攻撃を受けたときから、政府内でも情報セキュリティの重要性が改めて強く認識され、1ヶ月後にはNISCなどの前身となる「内閣官房情報セキュリティ対策推進室」が発足しました。そして2005年4月、本格化するサイバー犯罪などの現状を受け、情報セキュリティ問題に取り組む政府の役割・機能を見直すというIT戦略本部*2の決定の下、NISCや情報セキュリティ政策会議が設置されました。
 翌年の2006年には、政府機関・地方公共団体、重要インフラ、企業、個人それぞれの情報セキュリティを促進させる「第1次情報セキュリティ基本計画」が制定されています。

―2006年度から2008年度まで3年間にわたって行われた「第1次情報セキュリティ基本計画」ですが、開始当時の目標に対する現在の達成度はいかがですか?

関氏 第1次情報セキュリティ基本計画では、政府機関・地方公共団体、重要インフラ、企業、個人の4分野を対策実施領域としています。
 全体としては、官民連携が進み、IT利用の客観的・主観的信頼性の確保について、枠組み・基盤の整備を中心に一定の成果があったと考えています。
 政府機関については、政府機関統一基準とそれに基づく評価・勧告によるPDCAサイクルの構築により、全体的な改善が進んだと思います。重点検査結果も、最初はCやDの評価が多かったのですが、現在はほとんどA評価で、B評価の府省も、もうすぐA評価となります。
 重要インフラについては、官民の緊密な連携の下、「重要インフラ行動計画」に基づく情報共有の枠組み構築や分野横断的演習など、関係主体間の連携の基礎が整いました。しかし、IT障害はなくなることはないので、今後も地道な努力が必要です。
 一般の企業でも、重要性の認識は高まりつつあり、対策実施は徐々に進められている状況です。企業規模により取組みに差が生じている点が今後の課題です。
 個人分野でも、意識や対策の向上が進んでいます。しかし、IT利用の不安は、減少傾向にあるものの依然として大きいと思います。
 対策は進むものの、情報セキュリティ上の脅威も変化し、減少していないため、それぞれの分野において、対策の更なる底上げを図っていく必要があると認識しています。

情報セキュリティが抱える現状の課題

―なるほど。では逆に達成できていないところなど、2009年度より施行されます「第2次情報セキュリティ基本計画」への課題として残ったところはありますか。

関氏 第2次基本計画も第1次基本計画と同じく、政府機関・地方公共団体、重要インフラ、企業、個人を対策領域としています。
 政府機関・地方公共団体については、いまだにセキュリティに対して能動的ではないところが多いです。積極的にセキュリティに取り組むことで信頼のある電子政府・行政と言われるようにしたいですね。
 重要インフラについては、情報共有をもっと進めるべきという課題があります。情報共有を事故再発防止のための糧としてほしいです。
 企業についてもまだまだ受動的です。「不祥事があったら困るから」という消極的な理由から取り組んでいる企業が多く、また大企業と中小企業との差も深刻です。不況がこれをさらに顕著にするのではないかと懸念しています。
 個人については、危険性の認識度は上がったものの対策をしない人も多い。特に最近のウイルスは、利用者が直接害を被らないものも多いため、対策の必要性を認識しない層をどうするかが課題です。
 全体的に、「適切な情報セキュリティ対策を打っていないと、セキュリティ事故を起こしたときに社会から厳しく非難されるから対策する」という受動的な立場が多いです。品質、信頼性、ブランドイメージなどの点で情報セキュリティ対策を強みにしていくことが必要ですね。

―では2次計画の目標というと、1次計画の課題の裏返しということになりますか?

第2次情報セキュリティ基本計画の主な内容
第2次情報セキュリティ基本計画の主な内容(クリックすると拡大します)
関氏 そうですね。政府でしたら能動的にセキュリティ対策を行うための体制作りとして、最高情報セキュリティアドバイサーの設置、情報セキュリティ年次報告書の公表などがあります。重要インフラでは、各分野での検証レベルの設定、情報共有体制の強化や分野横断的な演習の継続などを想定しています。企業における情報セキュリティガバナンスの確立も課題です。個人についても、対策を実施していない個人を減らすことも必要です。

 そしてこれからは、情報を預かる側だけではなく、情報を提供する側も十分に気を付けていく必要があります。もちろん情報が漏洩したときにどういう対応をするのか、基本的なポリシーを、情報を預かる側でも整備していくことが求められます。今後は情報提供側も預ける相手の情報ポリシーをよく見て、アクセプタブルリスク*3を熟考した上で、情報提供の是非を判断していくことが求められます。

Next


お問い合わせ

  コラムトップページへ▲