内閣官房情報セキュリティセンターの山口 英氏(情報セキュリティ補佐官)
内閣官房情報セキュリティセンターの山口 英氏(情報セキュリティ補佐官)
[画像のクリックで拡大表示]

 「外部攻撃からシステムを守ることに終始した従来の情報セキュリティ政策は大失敗」――。11月14日,都内で開かれた情報セキュリティに関するシンポジウムの基調講演で,内閣官房情報セキュリティセンターの山口 英氏(情報セキュリティ補佐官,写真)はこのように語り,政府が推し進めてきた政策の誤りを認めつつ,今後の路線転換を披露した

 「現在はICT(情報通信技術)の上にビジネスがある。本来はそうした社会経済基盤におけるリスクマネジメントや法令順守の観点から,政策を考える必要があった。ところが政府が推し進めてきたのは,外部攻撃をどう防ぐかというサイバーテロ対策ばかり。しかもその対象は,各省庁のシステムだけだった」(山口氏)。

 “政策ミス”の背景には,2000年初頭に起きた各省庁のホームページ(HP)改ざんや,2001年の米国同時多発テロがあるという。「HP改ざんなどは最初,“玄関にペンキをかけられたもの”と侮っていた。ところがあまりにも攻撃が多すぎてメンツが丸つぶれ。そこで各省庁の威信をかけて,サイバーテロ対策だけに走ってしまった」(山口氏)。

「CSO」「CISO」の育成が急務に

 では今後,どんな情報セキュリティ政策に転換するのか。その大きな柱が「情報セキュリティ人材の育成」だと説明する。「セキュリティの技術に熟知し,様々なリスクに対する予防策や障害時の対応を取れる。しかも経営のことも分かっている。そんな人材が求められている」(山口氏)。

 具体的には,最高セキュリティ責任者「CSO(Chief Security Officer)」や,最高情報セキュリティ責任者「CISO(Chief Information Security Officer)」の育成を想定しているという。「セキュリティ対策はある程度トップダウン的に進める必要がある。経営者と現場の調整役としての役割が求められる」(山口氏)。

 ただし,人材育成は一筋縄にはいかない,とも山口氏。「情報システムと業務の依存性は高まるばかり。雇用形態の多様化やアウトソーシングの増加などで組織構造も複雑になっている。そうした状況で適切な対策を打てる専門家をどう育成すればよいのか。ここはこれからの課題としていく」(山口氏)。

 10月1日に発足した「情報セキュリティ教育事業者連絡会」(情報セキュリティに関する10団体が参加)もこうした政策転換を受けたもの。今回のシンポジウムは同連絡会が主催した初めてのイベントに当たる。「文科省は2007年にCSOやCISOの育成を目指した教育機関を2カ所設置したのも政策転換の表れ。内閣官房情報セキュリティセンターには現在,民間の専門家が3分の1ほどいる。ここで官民協力しながら,情報セキュリティに関する人材育成についていろいろ議論していきたい」(山口氏)。