セキュアな環境の構築を目指す“官”と“民”のアプローチ（上）

　情報セキュリティの重要性が日増しに強くなる現在、企業はどういったセキュリティ体制を敷くべきか。国はどのようにして、社会全体に関わる情報セキュリティの基盤づくりをフォローできるのか。今回は官と民それぞれの観点から、真にセキュアなネットワーク環境構築に

特集特集

2003年11月20日（木） 12時00分

　情報セキュリティの重要性が日増しに強くなる現在、企業はどういったセキュリティ体制を敷くべきか。国はどのようにして、社会全体に関わる情報セキュリティの基盤づくりをフォローできるのか。今回は官と民それぞれの観点から、真にセキュアなネットワーク環境構築には何が必要かを探ってみたい。

　情報セキュリティに関して社会的な舵取り役を担う経済産業省からは、情報セキュリティ政策室の山崎琢矢氏。情報セキュリティ事業を展開する京セラコミュニケーションシステム株式会社からは、専務取締役の北村寛氏。お二方に聞いた情報セキュリティの現状と今後についての見解を交え、お送りする。

>> 懸念される重要インフラの障害、劇的に早まったウイルス開発ターム

　ネットワーク上の事件、事故は以前から起こっていたものの、昨今ではMS Blasterをはじめとしたウィルスの巧妙化、金融や運輸システムダウンによる混乱、日々狙われるOSの脆弱性など、事故の「質」が新たな段階を迎えたかのような印象を受ける。情報セキュリティ分野で常に変化を目の当たりにしてきたお二人は、こうした最近の事象に対してどういった印象を抱いているのだろうか。

『印象深いものはニつあります。一つは、2003年3月に起きた航空管制システム（発着管理システム）のダウンや日銀ネットのシステムトラブルなど、我々の生活に直接影響を及ぼすような重要インフラにITを原因とした問題が起こり、ここへきて品質が維持できなくなっている点です。二つ目は、やはりMS Blasterですね。PCが家電化する中で“PCを昨日買ったのに、なぜ今日感染するのか”といった意見を多く耳にして、個人のリテラシー向上が必須であることを再認識するとともに、OSの脆弱性が与える社会的影響の大きさも痛感しました。そして、企業への影響では、我々の調査によれば大企業ほど被害が甚大であったことがわかりました。これは、大企業ほど分散管理体制が進み、業務の効率化から個人のPCは個人がアップデートする、といった風潮になったことから落ち度が発生して対処がままならず、基盤そのものの脆弱化につながっていることを意味していると思われます。個々の責任に依存するのではなく、全体として対処しなければならない事件が発生しているように思います（山崎氏）』

『情報セキュリティ分野に着任してまだ2年余りですが、自分自身、日増しに経営層としてセキュリティ意識が高まってきたと思います。サッカーのW杯日本vsクロアチアの試合の際、弊社のデータセンターにクロアチアその他から多数のサイバーアタックがありました。対戦相手＝日本ということでアタックが行われたのでしょうね。弊社では防御と追跡を行って無事でしたが、これまで遠い存在だったハッカーやクラッカーの攻撃に直面し、危機意識が高まりましたね。MS Blasterに関しては特に大手、ITの先端を行くような企業でも大きな被害を被っているのを目にしました。なかには販売管理から購買管理まですべてダウンし、手作業による帳票処理を余儀なくされたところもあったといいます。とある企業ではこうした障害の復旧に数億円、時間にして3〜4日かかったといいます。企業全体の活動が停止する…これは「印象深い」を通り越して、恐怖すら感じます。ウイルスも日々進化して、従来万全であったはずの情報セキュリティシステムが「劣化」してしまうこともありますし、何よりも脆弱性の判明から、そこを突くウイルスの出現までのタームが劇的に早まっています。SQL Slammerが突いた脆弱性は去年の7月に判明して、それから約半年後にアタックが始まった。MS Blasterはセキュリティホールのアナウンスが7月14日、それからわずか1カ月後にアタックです。今後ますますウイルスの開発タームが短くなる可能性もあります（北村氏）』

>> セキュリティは重要。しかし「何をすればよいのかわからない」との声も

　改良（改悪？）が進むウイルス、そして出現のスピード。これらに対応してゆくためには、組織を構成する「人」の意識がどこまでついていけるかがキーとなる。企業の意識は、後れをとっていないだろうか？

『明らかにこの1年、特にMS Blasterの出現以後は、セキュリティ意識が高まってきていると思います。ただ同時に、何を、どこまで行えばよいのかわからない、という意見があることも確かです。我々も策を講じてはいますが、一切合財を国が作れば状況が一変するか、といえばそう単純ではないはずです（山崎氏）』

　これまで何ら問題が発生していない企業などは特に、「何をすれば…」といった思考に陥り、セキュリティ投資を疎ましくさえ感じることだろう。こうしたことは、企業が実際に経験した事故そのものや対応に要したコストを明らかにしない、つまり「参考例を社会にフィードバックしない」企業体質と、それを報じないメディアにも一因があると思われる。さらに北村氏は、経営者層の危機意識の低さについて言及する。

『直接対応する現場の危機意識は、相応に高いと思います。それが経営者層にまで伝わっているかといえば、そうとは言い切れない。米国では9・11のテロ以降、中東をはじめ世界中からのサイバーアタックも顕著になり、「守る」意識が日本に比べて非常に高い。政府も様々な規制を設け、民間もそれにならっている。さらにはデータを盗難したハッカーからの脅迫や、被害者による訴訟なども顕著で、あらゆるリスクに対して米国の経営層は大きな危機感を持っているといえます。たとえば、CIOを置いている米国の企業は約52％。それに対して日本の企業は約12.2％。CSOに至っては、米国が数％から12％であるのに対し、日本は0％に限りなく近い状況です。危機意識の薄い経営者層に対して、今後は政府、そして弊社のような民間が協調しつつ働きかけを行っていくことが必要だと思っています（北村氏）』

　米国と日本とのセキュリティ意識の差異。これはテロによる直接被害の有無もさることながら、“個”を重んじ、民間のプライバシー擁護団体の影響力が強い米国の国民性や文化的側面も、原因の一端であろう。

>> 情報セキュリティに「絶対」はなく、事故は「起こりうる」もの

　では現在の日本において、政府は何ができるのか。経済産業省では2003年10月10日、わが国初となる情報セキュリティに関する国家戦略「情報セキュリティ総合戦略」を公表した。

『米国では「サイバーテロから国を守る」というナショナル・ストラテジーのもと、政府、企業、個人が一体となって情報セキュリティに取り組んでいます。しかし日本は、米国のように「軍事」が中軸に位置するハードパワーの国家でもない。日本は経済と文化を中軸に据えてきた国なので、「ものづくりに対する姿勢」や「品質に対するこだわり」といった強みを活かしながら、「高信頼性社会」を目指すというのが「情報セキュリティ総合戦略」の基本目標です。ITが生活や経済活動などの、すべてのインフラに入り込んでいる状況を踏まえると、情報セキュリティの充実は「高信頼性社会」の基盤を作る「要」となります。

　そしてもう一つが、「事故前提社会」です。情報セキュリティに「絶対」はなく、事故は「起こりうるもの」として再認識しようとする考え方。その前提に立って、対症療法的な対応しかとらないのではなく、事故・事件の予防、被害の最小化・局限化、回復力の確保、これらのベストミックスを目指す、という考え方です。

　舵取りはすごく難しいのですが、たとえば、何かを調達する際にはこれくらいの条件は満たしていなければならない、なんらかの基準を満たしていないと入札できない、といったような、市場のなかで「物差し」を設けていくといったことが重要だと考えています。これを官民が連携しつつ、市場メカニズムを利用しながら、徐々に、したたかに基軸を作っていく過程で成り立っていくと思います（山崎氏）』
（つづく）

◇経済産業省　情報セキュリティに関する政策、緊急情報
http://www.meti.go.jp/policy/netsecurity/index.html
◇経済産業省　情報セキュリティ総合戦略
http://www.meti.go.jp/policy/netsecurity/strategy.htm
◇京セラコミュニケーションシステム株式会社
http://www.kccs.co.jp/

[ Prisoner DAMRAK ]

《ScanNetSecurity》