社会基盤としてのITを利用するための情報セキュリティ政策とは:HH News & Reports:ハミングヘッズ

ITをもっと身近に。新しい形のネットメディア

- Home > コラム > インタビュー記事 > 社会基盤としてのITを利用するための情報セキュリティ政策とは
 コラムトップページ
 インタビュー記事 ▼
 イベント・セミナーレポート ▼
公認会計士松澤大之
内部統制で変革すべき
は“個人の意識”
(動画あり)

関 啓一郎 内閣官房情報セキュリティセンター参事官総括担当に聞く
「社会基盤としてのITを利用するための情報セキュリティ政策とは」

内閣官房情報セキュリティセンター参事官 総括担当
関 啓一郎
「社会基盤としてのITを利用するための情報セキュリティ政策とは」

リスクを前提としたIT利用

―完全性を求められがちな情報セキュリティにおいて、リスクを受け入れるということは、どのような意義になるのでしょうか。

関氏は「適正な情報セキュリティを施した上でリスクも考慮した事後対策を練るべきだ」と語る
関氏は「適正な情報セキュリティを施した上でリスクも考慮した事後対策を練るべきだ」と語る
関氏 我々は「事故前提社会」という言い方をしています。これは日本で求められがちな「無謬性神話」を否定するということです。
 いくらセキュリティを高めても、悪いことをする人間は必ず出てくるし、間違えることもあるということを改めて意識する必要があります。事故をゼロにすることは、現実的に不可能ですから、一定のリスクを受け入れる覚悟が要ります。
 このような言い方をすると「じゃあ情報セキュリティ向上をあきらめるのか」と批判される方もいらっしゃいますが、そういうわけではありません。100%事前防止ということに捉われると、事前防止で準備が終わってしまい、事後対策部分が思考停止になってしまいます。その結果として、問題が発生した際に迅速に対応ができないことを危惧しているわけです。

―全体として事前にコストをかけすぎないためのアクセプタブルリスクになるのですね。

関氏 そうです。だから事前対策は当然として、問題が発生した場合の復旧とか、事業継続についても準備をしておくべきだ、ということです。
 何か問題が発生すると、日ごろ何もしていない人ほど極端なことをしがちです。それでは長続きしません。
 ITは業務効率を上げるために使うものです。それを、情報セキュリティを理由にITを使いづらくしては本末転倒です。事故を想定して、対策を準備をしておくべきです。

情報セキュリティのこれから

―2009年3月にIT戦略本部が、経済危機から脱するための「3ヶ年緊急プラン」の柱の1つとして、「デジタル特区の3大プロジェクト」を打ち出しました。時期はちょうど「第2次情報セキュリティ基本計画」と重なりますが、ここで掲げているITを駆使した行政の効率化や電子政府の推進、医療分野のIT化などと、情報セキュリティ分野での連携・連動などはありますか。

関氏 「3ヶ年緊急プラン」の柱は「デジタル特区の3大プロジェクト(電子政府・電子自治体、医療、教育・人財の3つ)」「新産業の育成」「デジタル基盤整備」の3つです。情報セキュリティは「デジタル基盤」として全体をカバーすることになるでしょう。
 その上でデジタル特区の3大プロジェクトとのかかわりですが、電子政府で新しいシステムを作っても、利用方法が難しくては普及しません。わかりやすくしても、信用がなければ、やはり使われないでしょう。ですから「セキュリティ・バイ・デザイン*4」と呼ばれていますが、設計段階から安全を組み込むような電子政府を目指しています。
 医療は重要インフラに分類されています。医療のシステムダウンは人命にかかわる問題になることも想定されます。ただ現状では、医療はIT化自体が進んでいません。
 いずれにしても、情報セキュリティの遅れが原因で、IT導入が遅れることがないようにしていくことが大切です。

―なるほど。それではさらに先の話になりますが「第2次情報セキュリティ基本計画」が終了する2012年以降の、情報セキュリティ政策やあるいは情報セキュリティの完成像などはありますか。

「情報セキュリティの必要性は今後ますます高まっていく」と話す関氏
「情報セキュリティの必要性は今後ますます高まっていく」と話す関氏
関氏 情報セキュリティに完成はありません。それはIT自体が常に進化しており、リスクの方も常に変化し続けているからです。
 1990年代には航空チケットの予約システムのトラブルで飛行機が止まることはありませんでした。なぜなら、ITシステムが旅行代理店内や飛行機会社内にしかなかったため、障害が広く及ばなかったからです。ITの基盤化が進み、政府においても電子化が進めば、もっと便利にはなるでしょう。例えば、引越し手続きのワンストップサービス*5が一般化すれば大変便利です。その分障害が発生すれば、関係する全ての手続きが影響を受けます。利用が進めば、情報セキュリティの重要性は益々高まってきます。
 ITによる犯罪もかつては愉快犯が中心だったのに比べて、今では組織的となり、ウイルスを作る人、売る人、使う人が現れ「ビジネス」になってしまっています。ウイルスもPCを止めるのではなく、機密情報や個人IDパスワードを盗むといった、より利益を狙うなものになっています。

―しかし今は大不況ですから、高度化すべきITの予算が削減される方向にあります。

関氏 そうですね。ですから企業は、業務を効率化する方向に向かうでしょう。しかし効率化するにはITが必要で、IT化にはセキュリティ投資が必須になってきます。効率化のためには、ITシステムの再編が必要になるわけです。
 ところがIT投資や情報セキュリティの前に、日本はITシステム自体が遅れている気がします。というのも日本では、高額なオーダーメイドが中心です。それでは不況で企業が財布の紐をきつくしている現在、安価なパッケージ製品を売る米国に負けてしまうかもしれません。
 クラウドコンピューティング*6というものものありますし、刻一刻と変化していくIT環境に応じて、情報セキュリティの分野も柔軟に対応した施策を継続的に打ち出していく必要がありますね。

※このインタビューとセキュリティプラットフォームは一切関係ありません。



注釈

*1:e-Japan戦略II
IT普及の国家的戦略として日本政府が掲げたIT社会実現のためのプラン「Eジャパン構想」のうち、2003年7月に出されたもの。

*2:IT戦略本部
高度情報通信ネットワーク社会推進戦略本部のこと。2001年1月にIT環境の急激な変化に施策・推進を対応させるために内閣に設置された。2009年4月現在、本部長は麻生太郎首相。

*3:アクセプタブルリスク(acceptable risk)
容認せざるを得ないリスク、あるいは受け入れることができるリスク。適切な事前対策を施した上で、リスクとコストを勘案し、事後対策の方がコストパフォーマンスに優れると判断した場合あえてリスクを受け入れるという選択肢もある。

*4:セキュリティ・バイ・デザイン
企画、デザイン段階からセキュリティに配慮した設計を行うこと。

*5:ワンストップサービス
一度の手続きをこなすことで、ほかの様々な手続きを全てこなすことができるサービス。主に行政などのサービスを指すことが多い。

*6:クラウドコンピューティング
ネットワークを介したPC利用の形態。CPUなどの処理やデータ保存、アプリケーションなど機能のほとんどをサーバ側に任せ、クライアント側はネット経由で結果のみを受け取る。これによりクライアント側は最低限の環境(インターネットができる環境とブラウザ、端末)で済むようになる。



【関 啓一郎(せき けいいちろう)氏 プロフィール】

【役職】
内閣参事官(内閣官房副長官補付)
内閣官房情報セキュリティセンター参事官 総括担当

【略歴】
東京大学法学部卒、郵政省入省、倶知安郵便局長、通信政策局政策課課長補佐、事務次官付、国際経済研究所ワシントン事務所長、マルチメディア振興室長、主計課調査官、IT戦略担当内閣参事官(内閣官房副長官補付)、総務省国際経済課長、固定資産税課長を経て現職


(掲載日:2009年5月28日)

Back


お問い合わせ

  コラムトップページへ▲