これからの日本の情報セキュリティに必要なこととは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > これからの日本の情報セキュリティに必要なこととは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

安田浩 東京電機大学教授・東京大学名誉教授に聞く  これからの日本の情報セキュリティに必要なこととは

東京電機大学・東京大学名誉教授
安田 浩
「これからの日本の情報セキュリティに必要なこととは」

 情報セキュリティの重要性について広く国民への普及・啓発を図る観点から、2月2日(第一次情報セキュリティ基本計画を決定した日)が「情報セキュリティの日」と制定されている。その年に情報セキュリティの分野で貢献した人を、内閣官房情報セキュリティセンター(NISC)*1が「情報セキュリティの日」功労者賞として表彰している。今回は、今年表彰された安田浩 東京電機大学教授・東京大学名誉教授に情報セキュリティについてお話をうかがった。


今後の情報セキュリティに必要なこと

―2月2日の「情報セキュリティの日」功労者賞のご受賞、おめでとうございます。
 安田教授はこれまでもMPEGの開発や世界的な普及、映像フレーム間符号化方式の先導的研究、個人認証技術などの分野において多大な貢献をされ、多くの受賞をしてこられました。さらにこの度のご受賞に至ったわけですが、今後の情報セキュリティについて、どのようなお考えをお持ちでしょうか。

安田浩 東京電機大学教授・東京大学名誉教授
安田浩 東京電機大学教授・東京大学名誉教授
安田氏 ありがとうございます。今までの情報セキュリティに関わる取り組みをご評価いただき、大変ありがたく思っています。
 今後の情報セキュリティにおいて最も必要なことは、国として「どのようなスタンスで取り組んでいきたいか」をより明確にすることだと考えています。
 これからは「国は『安全なこと』を最重要視し、安全に貢献している人を高く評価します。国がグローバルにみて最先端の安全基準を作りますので、それを守ってください」という施策を進めていけば、情報セキュリティ啓発活動は自然に進むと思われます。
 最近、企業・自治体の情報セキュリティレベルを格付けしようという動きがありますが、その取り組みについては私も大賛成です。国の動きが遅ければ、民間で格付けをしていけばいいのです。情報セキュリティについても、当事者間の適切な競争があればレベル向上につながります。さらには、情報セキュリティについて貢献した人・組織を表彰して、インセンティブを与えないと国全体のセキュリティのレベルは向上しないでしょう。
 そこで、2月2日を「情報セキュリティの日」と制定し、情報セキュリティの大切さを浸透しようとしているのです。

情報セキュリティの資格取得

―企業や自治体のセキュリティレベルを向上させるには情報セキュリティの資格取得が考えられます。安田教授もご尽力されていますが、それについてはいかがお考えでしょうか。

資格取得について熱心に話す安田教授
資格取得について熱心に話す安田教授
安田氏 現在、情報セキュリティについて体系的に学べる機関は(岩崎学園)情報セキュリティ大学院大学、CMUセキュリティ人材育成センター等がありますが、卒業生が実際に実務に直結している例はまだまだ少ないと感じています。
 以前、住民基本台帳ネットワーク(以下住基ネットと呼ぶ)のCIO(Chief Information Officer)の育成問題に関わったことがあります。住基ネットが具体化されたときは市町村合併が進む前でしたから、3300市町村に住基ネットの拠点がおかれる構想でした。住基ネットでは拠点毎にCIOは2人必要ですので、6600人の育成が必要となります。議論した時から3年後に住基ネットのサービス開始が想定されており、1年に2000人以上教育しないといけなかったのです。CIO教育を強く提言するとともに、東京大学に産学官連携プロジェクトを作り、皆様にご協力頂いて自治体の方々の情報セキュリティ教育に積極的に取り組みました。

 またCISSP(Certified Information Systems Security Professional)*2は情報セキュリティに関する世界的な資格の1つで、この資格は私も取得しています。今日本に1500人くらい、CISSP取得者がおりますが、ネットワークの重要拠点にはこのような資格者が配置されるべきとすると、まだまだ絶対数が足りませんので、普及への努力を続けるつもりです。ただ実際の実務と資格を結び付けてお金を稼ぐようにするためには、資格を取るだけでは不十分で、もう少し深く勉強しなければならないと思います。

バスと乗用車

安田氏 今日、多くの人々がインターネットを使用しており、その便利さを享受している一方で、ウィルスやフィッシングの被害にあったり、知らずに情報セキュリティを脅かす側に回ってしまうこともあります。情報セキュリティに関する十分な知識とそれを守ろうという自主的行動が、情報セキュリティレベル向上には不可欠な状況になってきています。私は情報セキュリティ確保に関するこのような状況を、道路交通における「バスと乗用車」に例えればわかりやすいと考えています。乗用車は個人にとって大変便利な乗り物ですが、ルールを守らず暴走したら人を殺めてしまいます。だから自動車運転免許が必要なのです。情報セキュリティも同様です。ルールなしの野放しにするとウィルスを作ってばらまいたり、フィッシングを設定して殺さないが生活を破壊するようなことをする人がでてきます。だからネットを使う人は、最低限の情報セキュリティを担保できる資格ぐらいは取得しなければダメなのではないでしょうか。「免許を取りたくない人はバスに乗ってください」すなわち「公共の施設に行ってメールしてください」となる訳です 。インターネットの使用を免許制にすることは私の持論ですが、そこまで行かないにしても情報セキュリティに関する知識の向上はすべての人が意識すべきことであり、今後も情報セキュリティ啓発に努力するつもりです。

自治体の情報セキュリティポリシー

―自治体の情報セキュリティに関してはどのようにお考えでしょうか。

自治体の情報セキュリティについて説明する安田教授
自治体の情報セキュリティについて説明する安田教授
安田氏 自治体の情報セキュリティは、設備面は整備されつつありますので、しっかりと運用すれば完全です。すなわちそれぞれの技術が完璧ではないだけで、一つ一つ技術を組み合わせてきちっと運用すれば、それは相乗してある意味無限の時間スパンをもって安全だと言えるようになります。例えばパスワードを1ヶ月ごとに変えなければそれは無意味であるように、情報セキュリティシステムで重要なのは、「その運用をしっかりできるかどうか」です。
 京都府宇治市で起きた住民基本台帳データ漏洩事件*3などは、きちんと情報セキュリティ教育啓発ができていなかった典型例ではないでしょうか。

 自治体レベルで「情報セキュリティポリシーをしっかり決めています。チェックリストがあります」と言っても、ただ何も考えずにチェックリストをつけているだけでは、それは問題なのです。やはり抜き打ち監査をするなどして、本当にやっているかという確認をしなければなりません。
 自治体は多くの個人情報を預かっていますが、情報セキュリティ自体についてはそんなに心配はしていません。情報セキュリティシステムの運用の仕方の問題なのです。今の個人情報、住民基本台帳というのは、庁内LANというシステムに組み込まれており、このシステムではアクセス資格が制限されていますので、運用さえきちんとしていれば安全です。
 だからこそ、最終的には「人間」の部分になってくる。みんながセキュリティレベルを上げなければならない―そのことは自治体に勤務しているみなさんは建前では理解しています。あとはそれを実行に移すことができるかどうかではないでしょうか。

Next


お問い合わせ

  コラムトップページへ▲