第17回：米国政府の監査企業の顧問も努めるエキスパートに最新事情を聞く

日本はテクノロジー産業に高い技術力を持ちながら、セキュリティに関しては後進国と言われるケースも多い。セキュリティ先進国である米国と我が国の違いはいったいどこにあるのだろうか？　米国政府のコンサルティング企業の顧問を務め、日米のセキュリティ事情に詳しい慶應義塾大学環境情報学部教授　工学博士 武藤佳恭氏に話を伺った。

武藤佳恭 氏 （たけふじ よしやす） 慶應義塾大学環境情報学部教授　工学博士 1983年：慶應義塾大学大学院博士課程電気工修了。1983年〜1985年：南フロリダ大学コンピュータサイエンス学科客員助教授。南カロライナ大学コンピュータサイエンス学科助教授、ケースウエスタンリザーブ大学電気工学準教授などを経て現在に至る。マレーシアマルチメディア大学顧問、ファイバーチャネル協議会会長、日本ネットワークセキュリティー協会顧問など、その他多数の委員／顧問を務める。「知らないと絶対損をするセキュリティの話:デジタル時代の護身術」など、多数の著書を執筆している。

米国では政府主導でセキュリティを充実
情報に対するプライオリティを明確にする
OECDなどへの提案で全体の底上げを

米国では政府主導でセキュリティを充実

――日本と米国では、セキュリティへの取り組みに大きな差が現れている表されることも多いですが、日本の暗号化技術などは、世界でも高い評価を得ています。では、技術だけではない違いはどのような原因から生まれるのでしょうか？

武藤氏：　こうした違いが現れる最も大きな原因は、政府の取り組みにあります。米国には劣りますが、日本のセキュリティ対策に比較的積極性があるのは民間企業であり、政府は法案にしても、実際のセキュリティ対策にしても、それらと比べて後手に回っているのが実情です。

　これに対して米国は、政府自身が模範となって先進的なセキュリティを取り入れる仕組みを作っています。ブッシュ政権は、各省庁が確実にセキュリティの向上を果たすための底上げプログラムを考案しました。

　米国ではFISMA（Federal Information Security Management Act：連邦情報セキュリティ管理法）という法案が施行されており、各省庁は1年に1度、自らの情報セキュリティ対策状況を自己分析し、各省庁への予算割り当てを行うOMB(Office of Management and Budget：行政管理予算局）への報告を行います。また、第三者機関が実際にその状況を分析し、自己分析に対する判定を下すと共に、結果に基づき予算を決定します。

【拡大表示】 　FISMAから配布されるチェックシート。クライアントの種類や運用方法などがすべて数値化されており、これを元に自己採点と、第三者採点が行われる。

　その際に、50点満点で31点を満たしていないと及第点をもらえず、予算が大幅カットされることになったり、各省庁のCIO/CSOが責任を追及されることになったりします。また、結果は国会でも議論される対象となるので、各省庁の担当者は一切気を抜かずにセキュリティの向上に努めるのです。

――セキュリティに絶対や最終形態はないと言われています。米国では、どのような形で適切な状態を保っているのでしょうか。

武藤氏：　自己分析の評価基準や第三者機関の判定も最新のセキュリティ事情に合わせて更新されています。このため、適切なマネジメントを行っていないと及第点が満たせなくなります。このように政府のセキュリティを高水準に保つための仕組み作りが行われているのが大きな違いとなります。

　また、こうした体制を築いていると、CIOやCSOが常にセキュリティ体制に気を配るようになり、確実にフィードバックされるようになります。ただ、実績という点では、米国の2004年度の政府全体の成績はD+で、2003年のDから少しは向上しているのが現状ですから、米国もまだまだ努力が必要だということでしょう。

【拡大表示】 米国政府の各サービスにおける評価。 全体的には「D+」の評価がなされている。