企業はセキュリティ強化と競争力強化の両立を目指せ

>>前編 

企業に対してはどうするのか。

 企業向けは,第2次計画で特に力を入れたい部分だ。

 日本の企業の現状を見ていると,システムを高度化し,グループ内で閉じたサプライチェーンをネットワーク化するところまでは持ってきた。しかし,個人情報漏えいなどのセキュリティ事件が発生した場合の社会的な制裁を恐れるあまり,新しい取り組みができない状況になっている。一方,海外の企業はグループを超えたオープンなサプライチェーンを組み,顧客サービスを強化し,競争力を高めている。

 グローバル化の流れは強い。この波に乗らなければ,日本だけが世界から取り残されてしまう。だから,単純にセキュリティを強化するのではなく,企業の発展に結び付けていく視点を持って臨みたい。

具体的にどうやってセキュリティと企業の競争力向上を両立させるのか。

 三つのことに取り組む必要がある。

 第1に技術の開発。これまでは,これなら絶対に守れるという技術だった。しかし,これからはリスクはあるものという前提に立ち,問題が発生したときに想定の範囲内で被害をとどめるといった技術の開発が必要になる。

 第2がコンプライアンス(法令順守)について見直すことだ。現状では企業がコンプライアンスに過剰反応して身動きが取れなくなっていたり,企業の力関係によって一方が他方に対して責任をかぶせるということがある。

 ここに対しては,レベル感を合わせるために,政府がコンプライアンス関連の知恵を集めて提供していく必要がある。ガイドラインだったり,コンプライアンスに伴ういくつかの契約書の雛形(ひながた)を出すといったものだ。

山口 英(やまぐち・すぐる)氏
写真:佐々木 辰生

 自社で専門家を雇う余裕がない中小企業も含めて考える必要がある。業務をアウトソーシングする際,秘密保持協定や免責の協定がサービス提供者側に有利になっている。ここを是正するように働きかけていかないと,いつまでたっても中小企業にコンプライアンスが定着しない。

 第3にマネジメントの強化が必要だ。ここがだめだと,企業が活性化しないし,セキュリティ・レベルも向上しない。利益とリスクを把握した上で決断をする,経営の検証を自分たちで実施し,必要があれば外部の第三者にも見てもらう。企業には,こうした当たり前のことをやっていってほしい。

残る個人はどうか。

 現在コンピュータ・セキュリティに詳しい人間が詳しくない人間を食い物にしている構図がある。こうした状況に対して,規制すればよいと考える人たちがいるが,それには反対だ。規制をすると国民が豊かになるチャンスをつぶしてしまう。

 むしろ,新しい技術が出てきた際に,リスクへの知識をしっかりと持ちながら,新技術を積極的に活用して,仕事を効率化したり,新しいコンピューティング社会を楽しんだりする強い個人を生み出す政策を採るべきだ。そのためには,情報セキュリティの知識を向上させる教育が必要になる。

 情報セキュリティを学校で教えれば済むものではない。新しいコンピューティング技術は,社会人もお年寄りも使うため,底上げが必要になる。全員が確かな知識を基にコンピュータを使えば,おのずと社会コストも下がる。

 官僚たちは「国民を教育する」とい言おうものなら,マスコミにたたかれると恐れているが,本当にそれでいいのか。こうした議論をしないと,次の一歩を踏み出せない。

第2次情報セキュリティ基本計画は今後,どのようなスケジュールで完成させる計画なのか。

 かなり遅れているが,6月初めに第1次案を出したいと考えている。これに対してパブリック・コメントを募集する。さらに9月か10月に第2次案を出してパブリック・コメントを集めたい。

 その後,11月ころから全省協議を始めて12月に最終案を決定し,そのまま年越しでパブリック・コメントを集める。これを反映したものを,2009年2月の政策会議で最終決定するというスケジュールを考えている。

 3度もパブリック・コメントを集めるはなるべく多くの意見を集めたいからだ。もはや政府内だけで議論していても,新しいアイデアが出ない。広く意見を募集することで,政府で議論できなかった内容を補完したい。

ただあまり意見を集めすぎると発散してしまう恐れがある。

 そこで,計画に落とし込む際に,枝葉を落とす作業をする。これまで政府は落とした枝葉を後から活用してこなかった。ところが落とした枝葉の部分には,今は対処できないが,将来に必要になると思われる情報や視点がたくさん眠っている。

 今回の計画に取り込むのは集めた意見の2割とか3割かもしれないが,残りもちゃんと蓄積して,必要なときに生かしてく。その見直しは随時実施する。既に,将来やらなければならないことのリストがデータベースの形でたまっており,いつでも我々が見れるような体制になっている。

各国のCSIRT(各組織内にあるセキュリティ対策の窓口)が世界規模で情報を交換する団体FIRST(Forum of Incident Response and Security Teams)の年度総会が2009年に日本で開催されるそうだが。

 来年の6月に京都で開催することになっている。この件に対しては,政府が直接かかわっていないので,山口個人としての話をするが,企業の経営者やセキュリティ担当者はこの機会を是非活用してほしい。

 海外に目を向けると米ウォルマート・ストアーズや米ボーイングなどが企業内にCSIRTを持ち,企業の防衛に真剣に取り組んでいる。FIRSTの総会などを通して,海外企業のCSO(chief security officer)やCISO(chief information security officer)たちが一体何に取り組んでかを知ることは,企業のマネジメント力を向上させるヒントになるはずだ。

内閣官房情報セキュリティセンター
情報セキュリティ補佐官
山口 英(やまぐち・すぐる)氏
1964年生まれ。大阪大学基礎工学部卒。奈良先端科学技術大学院大学情報科学研究科教授。工学博士。 2004年4月より内閣官房情報セキュリティ対策推進室(現・内閣官房情報セキュリティセンター)情報セキュリティ補佐官に就任。2006年4月より内閣官房情報通信技術(IT)担当室電子政府推進管理室の電子政府推進管理補佐官も兼務。

(聞き手は,松本 敏明=日経コミュニケーション編集長,取材日:2008年4月30日)