内閣官房情報セキュリティセンターは2005年4月に発足した国家の情報セキュリティ対策の中核組織。現在,2009年度から開始する新しい国家戦略「第2次情報セキュリティ基本計画」の策定作業を進めている。この作業の陣頭指揮を執る山口英情報セキュリティ補佐官に,情報セキュリティの現状と今後政府が取り組むべき課題を聞いた。
情報セキュリティの本質が変わり始めていると最近発言しているが,その真意は。
視点はいくつかあるが,ここ数年で情報セキュリティを取り巻く状況が大きく変わってきていると感じている。
一番大きな変化は,情報通信システムが,ビジネスの基盤になってきていることだ。よく言われる“失われた10年”の間,インターネットの興隆やIT投資の飛躍的な伸びによって,業務の様々な部分がシステム化され,業務になくてはならないものになってしまった。
2番目の変化は,組織と組織の間に境界(perimeter)を作って,そこを守るという従来の考え方が通用しなくなってきたことだ。例えば,組織内の特定の個人を狙って攻撃を仕掛ける標的型攻撃やWeb経由のウイルス感染のような手法が出てきた。
 |
| 写真:佐々木 辰生 |
業務とシステムの関係では物資調達にしても,SCM(supply chain management)にしても相互接続が前提になっている。発電所のように一見閉鎖されているシステムでも,オープンな技術を使って構築されているために,現実的にはオープンなネットワークと大して変わりがなくなってきている。こうしたネットワークで情報が交換される前提でものを考えないと,情報管理はできなくなる。
3番目の変化は,システムが一つの目的のためだけに使われるのではなくなっているという点だ。典型的なのは飛行機やコンサート,鉄道などの予約システム。本来企業内の業務のためにだけに作られたが,今ではインターネットから顧客が予約できるようになっている。さらに,複数のシステムを連携させて新しいサービスとして提供するマッシュアップが,Web上で展開されるサービスでは,一般的な手法になっている。
その変化に応じた新しい方針が必要だとすると,どういうものを作っていくのか。
第1次情報セキュリティ基本計画は2006年2月に公表した。実際の検討作業は2005年に実施しており,その議論の土台は2004年ころのイメージだ。しかし,2004年から世界が大きく動いてしまった。
2009年2月に向けて現在作っている第2次情報セキュリティ基本計画でも,守るべき対象を政府,重要インフラ,企業,個人の4種類のセクターに分解して考えている。
政府セクターに関しては,これまでの延長線上で強化する方針で臨むしかないと思っている。新しい発想を入れて,今後発生しうる脅威に柔軟に対応できるシステムを作りたいが,システムがあまりにも古い発想で作られており,手の施しようがない。
こうした実情を把握できるようになってきたのは,最近のことだ。抜本的に修正するには時間がかかる。今のところ,現行のシステムを強固にしていくという選択肢しかない。
重要インフラに関しては,どの省庁も安定供給義務を定めた所轄法を持つ。一方で,インフラの供給会社は社会的信用を失うと利益を確保できないという企業としての側面があるために,おのずと対策が進むと見ている。
>>後編
|
(聞き手は,松本 敏明=日経コミュニケーション編集長,取材日:2008年4月30日)
