logo

IT障害が国民生活を脅かしてはならない--日本政府の取り組み - (page 2)

永井美智子(編集部)2005年06月24日 10時00分
  • このエントリーをはてなブックマークに追加

--解析結果をアクションプランに結びつけていくということですか。

 そうです。それから、政府から重要インフラ事業者に対して、きちんと情報提供をしようと考えています。2000年に策定された「重要インフラのサイバーテロ対策に係る特別行動計画」では、重要インフラに対してサイバー攻撃が行われた場合には、速やかに政府に報告するよう求めています。しかし、これだけでは不十分です。

 政府は把握した情報を、他の重要インフラ事業者に対して理解しやすい形で提供する必要があります。また、企業間での情報共有も進めてもらいたいと考えています。このため、今回の提言ではセクターごとに情報共有・分析センター(ISAC)を設立するよう求めています。さらにISAC間でも連絡協議会を設置し、重要インフラ間でも情報を共有するように提案しています。

 すでに情報通信の分野ではTelecom-ISAC Japanが設立され、情報共有やIT障害に関して共同で対処しています。また、金融業界では金融情報システムセンター(FISC)という団体がISACの役割を果たしています。

--電気やガスなどの業界は規制緩和によって小売自由化が進められ、競争が激しくなっています。こういった環境下でライバル企業同士の情報共有を進めるのは難しくありませんか。

 確かに自由化が進んでいるのは事実ですが、重要インフラにとってセキュリティは欠かせません。「重要インフラの自由化を進めつつも、セキュリティリスクを高めてはならない」というのが政府の基本的な考え方です。

 すでに激しい競争が行われている通信業界や金融業界でかつて起きたトラブルを、自由化にさらされはじめた物流やガス、電気などの業界が同じように味わう必要はないはずです。通信・金融業界の経験や知恵がセクターをまたいで共有されることが大事だと考えています。

--政府としてはISACをどのようにバックアップしていきますか。

 米国では1998年にISACが組織されましたが、最近になっていくつか問題が出てきました。中でも最も大きいのは、組織体が経済的に維持できないという問題です。これを政府としてどう支援するべきかという課題があります。

 また、情報公開が株主への不利益行為にならないことをどう担保するかという点も課題です。企業としては、自社がサイバー攻撃を受けたことを公開するのは企業のイメージダウンにつながり、ひいては株主から訴訟を起こされる危険性があります。

 第2次提言では、「重要インフラ事業者から所轄省庁に対して提供される情報は、サービスの維持・復旧を最優先させるという観点から、あくまで緊急対処のために提供されるものである。このため、所轄省庁が当該情報を元に各事業法等に基づく処分等を実施することについては慎重な対応が必要である」と書かれています。ここは非常に重要な点です。

 もし情報提供者が処分されれば、被害の届け出すら行われない可能性があります。しかし、小さな事故を隠蔽する体質の組織では、必ず大きな事故が起きます。だからこそ、行政側には慎重な対応が必要となるのです。

--ISACが機能するまでにはどの程度の期間がかかるでしょう。

 Telecom-ISACの例を見ると、2年経ってやっと基礎ができてきました。米国でもISACの設立から5年たって、見直しを始めているところです。今回の提言でISACが設立されれば、2010年ごろには形が見えてくるでしょう。ただし、セクター間で情報が共有されるだけでも事態は大きく変わると思います。

 重要なのは事故が起きないこと、次にトラブルが起きたときに被害を拡大させず、短期間に復旧させることです。さらに、何か起きたときにその原因をきちんと解析して、失敗から学ぶというサイクルを構築することも必要です。このことは今回の提言にも強く書かれています。

--これまで「相互依存解析」「ISACの設立と情報共有」「IT演習」の3つが取り組むべき課題として出てきましたが、この中で最も実現が困難なものはどれでしょうか。

 おそらくISACの設立と情報共有の部分でしょう。相互依存解析はいわばシミュレーションですから、1年間でもある程度の結果は出せます。あとはその精度を上げていけばいいわけです。そして、その結果をもとに実現可能なIT演習を設計していけばいい。

 情報セキュリティ対策において最も難しい課題は、セキュリティに対する政府の論理と企業の論理がぶつかる点にあります。政府は「セキュリティを守るためにコストをかけろ」と企業に言っているようなものです。これは利益を追求する使命を持つ株式会社の理論とは矛盾する。赤字であったり、利益があまり出ていない企業の場合はなおさらです。こういった中で政府と企業の間に共通のマインドを作るのは、最も時間がかかる作業と言えるでしょう。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]