|
「ITを避ける」という対策の是非
――いま「具体的な対策案」というお話がありましたが、ここ1年ほどの情報セキュリティ事件に対する企業の対策についてはどのようにお考えですか。
田辺: 個人情報保護法の施行が迫っているせいか、“駆け込み”的な対症療法をしている段階だと思います。当然、そこで「これから本格的に、どうしていけばいいのだろう」と不安に思っている企業も出てきているわけですよね。
井上: 先ほど私は「500円」という料金を話題にしましたが、決してその詫び料が悪いといっているのではないのです。ただ、「こうした対症療法が形骸化してしまうと、どんどん被害額の高騰が起こってくるのではないか」と。お金を出せば解決する問題ではなく、「これは必要な情報」「これは重要性の低い情報」「捨ててもいい情報」というように、自社のセキュリティマップの中で情報を位置付けて、きちっと対策を打ちながらビジネスを進めていく……というような意識を持たなくてはならないのです。
田辺: おっしゃる通りです。情報セキュリティを自分たちの身近な問題として認識し始め、さらに個人情報保護法への対応といった外的な影響力も出始めている。「さて、それでは」といったとき、不安に思っている企業は「危険そうだから、情報を取るのは止めにしようか」という判断に偏ってもおかしくないわけですよ。利便性を高めるためのITを、「セキュリティ上、リスクが高そうだから」という判断であきらめてしまう。そうではなく、リスクをうまくマネジメントしながら、ITの利便性を活用していかないといけないのです。いま企業は真剣にこうしたことを考える時期に来ているし、ひいては行政サイドもそれに対する考えを示す必要があると思っています。
井上: セキュリティの三大要素としての“CIA”、これは「Confidentiality(機密性)・Integrity(完全性)・Availability(可用性)」の頭文字なのですが、セキュリティの強度と利便性という相反するものを実現するには、この3つのバランスをうまく取っていく必要があるんですよね。
田辺: 特に日本は、セキュリティ対策の根幹となる「組織」と「個人」の切り分けに弱いという問題もありますし。
井上: セキュリティの4つのエレメントである「組織対策・個人対策・技術的対策・物理的対策」のうちの2つですか。
田辺: そうです。日本人は「個人は忠誠心をもって組織に属していて、その範囲の中でセキュリティが保たれる」という意識が根底にありますから。そこをどうしていくかといったとき、世界的な標準に合わせたガイドラインや制度を示していく必要があります。
概念・制度の導入から実装・運用段階へ
――そこでISMSや情報セキュリティ監査制度といった制度が生まれてきたわけですね。これに対して、企業の取り組みはいかがでしょうか。
井上: 監査制度は2003年4月からスタートしました。経済産業省情報セキュリティ政策室に備えてある監査台帳に監査主体を登録し、被監査主体が監査をお願いするという仕組みで、我々JNSAも経済産業省と協力してベースとなる管理基準や監査基準作りに貢献しました。そして現在、その実装と運用に焦点を当てて「日本セキュリティ監査協会」が設立され、活動を開始しています。ただ、これもやはり任意制度という課題がありますね。
田辺: 確かにガイドラインや制度はかなり整ってきたと思うのですよ。ちょっと話は戻りますが、この1年の動きを見ていて、間近に迫ったセキュリティ対策の重要性と、世の中の意識との間に少しズレがあるのかなと思います。例えば私は2000年に起こった省庁ホームページ改ざん事件のとき、政府の情報セキュリティポリシーのガイドラインのドラフト作成を手伝ったことがあるのですが、こうした“概念”とか“哲学”の導入に重きを置いた結果、その後の運用や見直し部分が手薄になっている感があるんです。概念を作って導入するのはどうしても時間がかかるから、仕方ないのかもしれませんが。いまの世の中も、概念や制度については少しずつ理解しているものの、実際の運用レベルに行くまでに時間がかかっている状態なのではないでしょうか。
井上: セキュリティの専門家の数も少ないですしね。
田辺: そうですね。また、運用という観点でいえば、監査のクオリティを保つという課題もあります。
井上: JNSAでは、「教育部会」を中心に、啓蒙・啓発活動のほか、情報セキュリティ専門家の育成にも力を入れています。ITスキルスタンダードに準拠した情報セキュリティ技術に関する知識の尺度としての「スキルマップ」の作成や、来年4月に開講予定のカーネギーメロン大学兵庫校の設立にも関与し、セキュリティ専門家の育成・輩出に寄与してきました。今年はいよいよ、資格制度・評価制度の策定にチャレンジしたいと思っています。またJASAでは、田辺さんがおっしゃったように監査のクオリティを保つための情報セキュリティ監査人資格制度についての設計・運用に取り組まねばならないと考えています。
田辺: 仕組みや制度は整ってきたから、これからは実装・運用についての啓蒙活動と専門家育成に力を入れる必要がありますよね。
井上: その通りです。今後はさらに厳しく企業の責任や取り組みが問われるわけです。
(第2回に続く)※情報セキュリティポリシーに関するガイドライン:
2000年、内閣官房情報セキュリティ対策推進室が中心となり定めたガイドラインで、各省庁のセキュリティポリシー策定についての方向性を定めたもの。
※ISMS(Information Security Management System)認証制度:
企業・組織がセキュリティ管理体制を構築・運用しているかを第3者機関が監査する制度で、正式名は「ISMS適合性評価制度」。
※インターネット安全教室:
2003年、経済産業省からの委託によりJNSAマーケティング部会が行った全国セキュリティ啓発キャラバン
※情報セキュリティ監査制度:
システムではなく、「情報資産」に対するセキュリティ対策を行っているかを監査する制度で、2003年4月より施行。この監査を受けることで、第3者よりセキュリティ対策に対する助言を得ることができ、結果的にISMS認証レベルにまで到達することが可能になる
※情報セキュリティ大学院:
2004年4月開校した、学校法人岩崎学園経営による大学院大学
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」