セキュリティ対策はIT部門から経営者層の課題へ

　2005年4月の個人情報保護法の試行まであと5カ月となり、企業でも情報セキュリティへの関心が高まっている。経済産業省 商務情報政策局 情報経済課 情報セキュリティ政策室 課長補佐の田辺雄史氏は28日、日本ネットワークセキュリティ協会（JNSA）主催のNetwork Security Forum 2004にて基調講演を行い、情報セキュリティ政策の現状について語った。

　田辺氏はまず、最近の情報セキュリティ動向を説明する。セキュリティ関連ツールは各ベンダーから提供され、サプライサイドの対策準備は整いつつあるが、ユーザーサイドにはまだ浸透しきっていないと同氏。また、セキュリティ対策が情報システム部門の課題から経営者層の課題となりつつあることを指摘し、セキュリティにおける焦点がIT事故対策から個人情報保護対策へとシフトしていること、そして事故が起こる前の予防はもちろん、100％事故を避けることは難しいと想定したうえで事故を前提とした対策を考える必要があることなどを述べた。

経済産業省 商務情報政策局 情報経済課 情報セキュリティ政策室 課長補佐の田辺雄史氏

　また、田辺氏は「ITは経済社会の神経系となったが、利便性とリスクを理解しておくべきだ」と述べる。つまり、紙から電子媒体へとデータが移行するにつれ、利便性は増したがセキュリティ上の問題も大きくなったというのだ。「紙よりも電子媒体は、コピーや修正、送受信、情報蓄積も非常に簡単だ。しかしその結果、データ改ざんや情報盗難も容易になった」と同氏は警告する。

　田辺氏は、2004年6月に経済産業省が策定した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」についても説明している。同ガイドラインには、各企業が個人情報をどう扱うべきかについての具体的指針が述べられている。たとえば、個人情報のなかでも、参照することのみ許可されている個人データを持つ企業と、その個人データを利用する権限を持っている企業では、データを扱う際のガイドラインが違ってくる。それぞれの立場を明確にし、それに合った個人情報全般の利用方法を決めなくてはならないと田辺氏はいう。

　また、安全管理措置として個人情報保護法の第20条には、組織的、人的、物理的、技術的な安全管理措置が定められている。組織の中の従業員が情報を持ち出すケースも後を絶たないため、従業員や委託先に向けたガイドラインも定めなくてはならない。また第三者に個人情報を提供する際も、情報主体個人の同意なしに提供してはいけないといったことが定められている。

　田辺氏は、経済産業省でのセキュリティ政策についても紹介した。同省内で取り組んでいるのは、技術的情報セキュリティ対策はもちろん、セキュリティインシデントの抑止と緊急事態に対応するための情報セキュリティ早期警戒パートナーシップ、企業の中にセキュリティをどう組み入れるかを検討する組織的情報セキュリティ対策、そして社会の重要インフラにおける情報セキュリティ対策などだ。

　こういった対策がなぜ必要かについて、田辺氏は「セキュリティ問題に対する意識は高まっているものの、実際にはポリシーを作っただけで安心感を持ってしまうケースが多い。すきまがあればセキュリティ問題が発生することは避けられないので対策は必要だ」と述べる。

　このなかにある情報セキュリティ早期警戒パートナーシップとは、脆弱性関連情報の提出先を設け、届け出された脆弱性情報をホームページ上で公開して警戒を促すものだ。これまでも、不正アクセスに関しては届け出制度があったというが、これに脆弱性情報も受け付けるようにしたもの。「ソフトウェアベンダーは、動作が安定しないといった報告があっても、パッチ対応の時間や費用を惜しんで調査に消極的になってしまうことがあった。そのため、脆弱性が存在しても一般に告知されないままになってしまうことがある。こういった状況を改善するためのものだ」（田辺氏）。すでにホームページ上では、情報提供を開始しているという。