「セキュリティ意識が高まっているのはよいが,一方で,利便性などを無視してセキュリティだけを優先する『セキュリティ原理主義』がはびこっているのが懸念される。セキュリティ対策はそれ自体が目的ではない。ユーザーに安全と安心感を与える取り組みであるべきだ」——。内閣官房 情報セキュリティ対策推進室 情報セキュリティ補佐官である山口英氏は5月13日,セキュリティ関連の講演会/展示会「RSA Conference 2005 Japan」の基調講演において発言した。
同氏は,「高度情報ネットワーク社会における情報セキュリティ対策の目的」と「政府における情報セキュリティ政策の再設計」という2つのテーマについて講演した。冒頭の発言は,前者のテーマに関するもの。
山口氏は,「日本は『高度情報ネットワーク社会』として,他国よりも先を走っているといえる。このため,そのような社会ではどうすればセキュリティを確保できるのか,前例はない」として,政府や企業,国民などが協調してセキュリティ対策に取り組む必要があると強調する。
そして,「情報セキュリティ対策の目的は,高度情報ネットワーク社会において『安全・安心』を確保すること」とし,セキュリティ対策を考える上で重要な点を5つ挙げた。
(1)守るのはシステムだけではない。情報資産や交換される情報(トランザクション)も守らなければならない
(2)事業継続性を脅かすものをすべてリスクと考える。具体的には,サイバー攻撃(サイバー・テロ)だけではなく,操作ミスやシステム障害,自然災害なども考慮する
(3)対策を施していることが,一般のユーザーにも分かるように可視化する。「セキュリティのためには見せないほうがよい」という考えがあるが,ユーザーに安心感を与えるためには可視化が不可欠
(4)防護されていることが,ユーザーにも検証できるようにする
(5)全体的に,安心感を与えるような取り組みにする
「政府における情報セキュリティ政策の再設計」のテーマについては,4月に設立されたNISC(内閣官房情報セキュリティセンター)などについて解説した(関連記事)。
(勝村 幸博=IT Pro)
