経済産業省は10月10日,新たな国家戦略として「情報セキュリティ総合戦略」を公開した。内容は,情報セキュリティについての格付けの導入やシステム事故の際の調査委員会の設置,サイバー・テロ演習と多岐にわたる。国だけでなく民間企業も巻き込み,日本全体の情報セキュリティ向上を目指す。

図1●情報セキュリティ総合戦略で示された情報セキュリティ格付けの考え方
情報セキュリティ監査制度を基に格付けが決まる。順位付けというよりも,様々な企業活動への応用が考えられている。例えば,指定項目の監査を受けて保証されていることが政府調達へ参加条件となる
 「情報セキュリティに関して,絶対に安全ということはあり得ない」(経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 山崎琢矢氏)――。今回の総合戦略が練られたのは,こうした危機感が背景にある。

 この戦略は主に経産省が策定したが,戦略実現のために内閣官房が進捗管理役として中心的な役目を果たす。また内閣官房,関係省庁の担当者や研究者を集め「情報セキュリティ政策委員会」も発足させる。同委員会を中心として,今後の具体的な施策を作る。今回の総合戦略により,日本もようやく国として本腰を入れて情報セキュリティに向き合うことになった。

 戦略の柱は大きく2つ。情報セキュリティのトラブルに関する事前予防策と,システム事故を前提とした対策である。既存の政策の多くは事前予防策中心で,しかも「形はあるが,実質は伴っていない」(総合戦略本文から抜粋)状態だった。そこで,まず事前予防策を効力あるものにする意味から,2003年4月にスタートした「情報セキュリティ監査制度」を通じた格付け制度を検討する。

 格付けは,企業の情報セキュリティに対する取り組みを評価することで安全性の向上を図るもの。企業のランク付けというよりも企業活動への応用が考えられている(図1[拡大表示])。例えば,政府調達に参加したい企業は,情報セキュリティ監査制度で定められた管理基準のうち項目Aと項目Bについて監査と保証を受け,格付けをされて初めて政府調達に参加できる――といった運用が想定されている。

 ただし,格付けの方法や客観性の維持など具体的な仕組みはこれから検討を始める段階。実現がいつになるかは見えていない。経産省の山崎氏も「私見だが,格付けする前にまずは企業への情報セキュリティ監査を義務付けることが先だ」とする。

 もう1つの柱であるシステム事故を前提とした対策は,航空や鉄道の事故と同様の事故調査委員会を設置したり,重要インフラ部門と位置づける7分野(情報通信,金融,航空,鉄道,電力,ガス,行政サービス)でサイバー・テロ演習を行ったりする。特に,サイバー・テロ演習は2003年度中にも実施する意向だ。

(岡本 藍=a-okamot@nikkeibp.co.jp)