日本はテクノロジー産業に高い技術力を持ちながら、セキュリティに関しては後進国と言われるケースも多い。セキュリティ先進国である米国と我が国の違いはいったいどこにあるのだろうか? 米国政府のコンサルティング企業の顧問を務め、日米のセキュリティ事情に詳しい慶應義塾大学環境情報学部教授 工学博士 武藤佳恭氏に話を伺った。
|
米国では政府主導でセキュリティを充実
――日本と米国では、セキュリティへの取り組みに大きな差が現れている表されることも多いですが、日本の暗号化技術などは、世界でも高い評価を得ています。では、技術だけではない違いはどのような原因から生まれるのでしょうか?
武藤氏: こうした違いが現れる最も大きな原因は、政府の取り組みにあります。米国には劣りますが、日本のセキュリティ対策に比較的積極性があるのは民間企業であり、政府は法案にしても、実際のセキュリティ対策にしても、それらと比べて後手に回っているのが実情です。
これに対して米国は、政府自身が模範となって先進的なセキュリティを取り入れる仕組みを作っています。ブッシュ政権は、各省庁が確実にセキュリティの向上を果たすための底上げプログラムを考案しました。
米国ではFISMA(Federal Information Security Management Act:連邦情報セキュリティ管理法)という法案が施行されており、各省庁は1年に1度、自らの情報セキュリティ対策状況を自己分析し、各省庁への予算割り当てを行うOMB(Office of Management and Budget:行政管理予算局)への報告を行います。また、第三者機関が実際にその状況を分析し、自己分析に対する判定を下すと共に、結果に基づき予算を決定します。
【拡大表示】 |
その際に、50点満点で31点を満たしていないと及第点をもらえず、予算が大幅カットされることになったり、各省庁のCIO/CSOが責任を追及されることになったりします。また、結果は国会でも議論される対象となるので、各省庁の担当者は一切気を抜かずにセキュリティの向上に努めるのです。
――セキュリティに絶対や最終形態はないと言われています。米国では、どのような形で適切な状態を保っているのでしょうか。
武藤氏: 自己分析の評価基準や第三者機関の判定も最新のセキュリティ事情に合わせて更新されています。このため、適切なマネジメントを行っていないと及第点が満たせなくなります。このように政府のセキュリティを高水準に保つための仕組み作りが行われているのが大きな違いとなります。
また、こうした体制を築いていると、CIOやCSOが常にセキュリティ体制に気を配るようになり、確実にフィードバックされるようになります。ただ、実績という点では、米国の2004年度の政府全体の成績はD+で、2003年のDから少しは向上しているのが現状ですから、米国もまだまだ努力が必要だということでしょう。
【拡大表示】 |
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス