IT障害が国民生活を脅かしてはならない--日本政府の取り組み

　IT関連のトラブルが企業活動や日常生活に大きな被害をもたらす事例が後を絶たない。 大阪証券取引所はヘラクレス市場のシステム障害が続いていることから、6月に新規上場申請受け付けを一時停止すると発表した。また、海外では支払いデータ処理業者のネットワークに何者かが侵入し、MasterCard Internationalのクレジットカード利用者の情報が4000万件以上盗まれた可能性がある事が判明している（関連記事）。

　過去を振り返ると、2002年にはみずほ銀行のシステム統合に伴う障害によって、ATM（現金自動支払機）の停止や公共料金等の二重引き落としといったトラブルが起きた。また、2003年には国土交通省の東京航空交通管制部のシステム障害によって187便が欠航するなど、航空ダイヤが大幅に乱れた。

　こういったトラブルの再発や被害拡大を防ぐため、政府の情報セキュリティ基本問題委員会は4月、国家の情報セキュリティ対策のあり方について提言を行った。情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービスに加え、水道、医療、物流の計10分野を「国民生活を支える重要なインフラ」として定め、これらの分野における情報セキュリティの強化を求めている。

　情報セキュリティ基本問題委員会は、政府のIT戦略本部の下に置かれた情報セキュリティ専門調査会の中の一部門だ。2004年12月には第1次提言として、情報セキュリティに関する政府の基本戦略を決定する「情報セキュリティ政策会議」の開催と、各省庁の調整等を行う組織「内閣官房情報セキュリティセンター」の設立を求めていた。

　今回発表された第2次提言では、まず情報セキュリティに対する脅威は外部からのサイバー攻撃以外に、人為的ミスや自然災害も含まれると指摘。重要インフラを守るためには政府と重要インフラ事業者が共同で取り組む必要があり、次の3つを行うことが必要だと述べている。

1. 重要インフラ同士が互いどう影響し合っているのかを検証する「相互依存解析」の実施
2. 重要インフラを運営する事業者の間で、セキュリティ問題に関する情報を共有する体制の構築
3. 具体的な脅威を想定した総合的な演習の実施

　なぜ政府は今、このような態勢づくりに乗り出したのか、そしてIT障害が我々の生活を脅かさずに済むようにするためにはどういった課題が残されているのだろうか。内閣官房情報セキュリティセンター 情報セキュリティ補佐官の山口英氏に聞いた。

--今回の第2次提言では、政府だけではなく重要インフラ事業者までを巻き込んだものになっていますね。今回の提言を行った背景はどういったところにあるのでしょう。

　政府の情報セキュリティに対する取り組みは、2000年頃にスタートしました。この頃、政府関連のサイトが外部から書き換えられ、情報セキュリティに対する強い危機感が政府内に生まれました。しかし当時は、「政府の情報システムが外部から攻撃を受ける危険性がある」ということに意識が向いていました。このため、政府の課題は「外部からの攻撃にいかに備えるか」ということにあったのです。

　しかしこの5年間で、状況は大きく変わりました。一番の違いは、国民生活がIT基盤の上に成り立つようになったことです。人々の生活やビジネスはITに大きく依存しています。例えば鉄道事業者の場合、チケットの予約や運行管理にITが欠かせません。

　ITはインターネットだけではなく、重要インフラのさまざまなところで重要な役割を果たすようになっている。だからこそ、ITが機能停止したときのインパクトは大きいんです。政府としても、ここをきちんと認識する必要があると考えました。

　もちろんサイバー攻撃などへの対策も重要です。しかしそれ以上に、IT障害によって重要インフラのサービスが止まったときの影響を政府がどう評価し、考えていくかというグランドデザインが必要なのです。ここが、今回の提言の大きなポイントです。

--重要インフラが相互にどう影響しているのかを検討する「相互依存解析」を提言していますね。

　重要インフラが相互にどの程度影響を与えあっているかという点が分かれば、どの産業セクターのセキュリティを強化すべきか、また万が一トラブルが起きた場合にはどこを優先的に対処すべきかが分かります。これはIT障害が起きてからでは遅いんです。

　「重要インフラのうち、特に鍵となるのは電力、金融、情報通信、物流の4つだ」という指摘は多くの有識者からなされています。しかし、これらのセクターがどのように相互依存しているのかという現状把握はできていません。「なんとなくこうだろうな」という経験則があるに過ぎないのです。

　セクター内における各分野の重要度は監督省庁も把握しています。しかし、セクターをまたぐ問題についてはわからない。コンピュータ業界を例に取ると、コンピュータの保守をするためには部品が必要ですよね。つまり、物流と情報通信は密接に絡んでいます。こういったことは現場の人は肌で感じていることですが、監督省庁が果たして把握しきれているかという問題があります。

　そこで政府としては、まず重要インフラの横断的な理解をしようと考えています。これによって重点領域の設定や、非常時と平時のアクションプランができるからです。