「企業にとって情報セキュリティ対策は,企業価値を高めるものだと評価されなければならない。そのための仕組み作りに積極的に取り組んでいく」--。経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐の下田裕和氏は10月25日,「Security Solution 2007」併催の「セキュリティ・ソリューションフォーラム」の基調講演で,経済産業省の情報セキュリティ対策の取り組みについて,こう説明した。
「情報セキュリティ・ガバナンスと我が国の政策 ~企業価値の向上に向けて~」と題した講演で下田氏はまず,IT活用の進展に伴って急速に高まる情報セキュリティの脅威について説明。インターネットによって,組織や国境を越えた攻撃にさらされるようになったことを強調。また,外部からの脅威だけでなく,組織内部の脅威も重大な問題になっているなど,情報セキュリティの脅威が多様化していることを強調した。
こうした情報セキュリティの脅威に対して,政府が推進する省庁横断型の取り組みを解説した。その代表が,2005年に設置された「内閣官房情報セキュリティセンター」と,「情報セキュリティ政策会議」が一体となった取り組み。情報セキュリティに関して政府全体がどう取り組むかの基本戦略や,政府機関自身の情報セキュリティ,鉄道や電力など重要な社会インフラの情報セキュリティなどについて,対策の立案や推進を担っている。
内閣官房長官を議長とする情報セキュリティ政策会議は,今年10月3日までに14回開催されており,その成果として発表された「第1次情報セキュリティ基本計画」は,2006年から2008年までの3カ年計画で,目標達成に向けた取り組みが進められている。基本計画は,2009年度始めまでに,すべての政府機関の情報セキュリティレベルを世界最高水準にし,企業の対策レベルも世界トップクラスに高めることを目指している。
4つの柱で構成する経産省のセキュリティ対策
下田氏は続いて,目標達成に向けた経済産業省の情報セキュリティ対策について解説。(1)早期警戒体制の整備,(2)組織的対策の推進,(3)企業や個人への継続的な普及広報活動,(4)技術的対策の推進--の4つの柱からなる取り組みを説明した。
例えば(1)早期警戒態勢の整備では,ウイルスや脆弱性情報などを収集し,国際的な連携体制で共有して早期に公開する取り組みを,IPA(独立行政法人 情報処理推進機構)とJPCERT/CC(JPCERTコーディネーションセンター)が実施している。届け出情報からユーザーに注意喚起することで,被害を未然に防止する。
届け出窓口であるIPAには,運用開始から3年2カ月の2007年8月末時点で,1559件のぜい弱性情報が寄せられている。また,IPAとJPCERT/CCは,ウイルスの一種であるボット対策のプロジェクトを昨年12月から実施。ウイルスを発見したり駆除ツールを提供したりしている。
(2)組織的な対策推進については,企業の情報セキュリティ対策の取り組みを評価する仕組み作りに力を入れている。情報セキュリティ対策の評価・認証制度である「ISMS適合性評価制度」の運用はその1つ。2007年9月28日時点で,認証取得事業者数は,2329件に上っている。
下田氏は「セキュリティへの対策は確かにお金がかかるし,利益に直結するわけではない。だが,株主などのステークホルダーから,企業価値を高めるための取り組みだと認識してもらうことが重要」と話す。また,企業が情報セキュリティへの考え方や取り組み,第三者評価などを報告するための報告書のひな型を作成して公開している。
最後に下田氏は,今後の情報セキュリティの方向性として,企業経営と密接に位置づけられた対策の必要性を説明。「知財戦略や製品開発,生産管理など,経営にかかわるあらゆる事柄に情報リスクがある。企業が経営課題を解決するために何をしなければならないのかを,経営という多面的な視点から明確にし,それを実現するための仕組み作りに取り組んでいく」と締めくくった。
