前回に引き続き、経済産業省 情報セキュリティ政策室、山崎 琢矢氏。京セラコミュニケーションシステム株式会社専務取締役、北村 寛氏に、「政府」「企業」それぞれの立場で目指すセキュアな環境についてお聞きした。>> 情報セキュリティのレベルにより、レーティングがなされる時代へ 経済産業省が発表した「情報セキュリティ総合戦略」では、「高信頼性社会」、ならびに「事故前提社会」の構築を掲げている。こうした戦略が社会的なきっかけになり、市場に一定の「物差し」が生まれる可能性は充分ある。米国では一定の基準を満たさずに事故を起こした場合、行政指導が行われることもあるが、日本においてはどうだろうか。『一定基準を生む土台になりうると考えているのが、2003年4月からスタートした「情報セキュリティ監査制度」です。今は基礎づくりの段階といえますね。たとえば「誰がチェックするか」ということに関しても、国が直接行う場合と、第三者が行う場合が想定できますが、我々が目指しているのは後者。第三者が承認やアドバイスを司り、徐々に進行させていく。米国ではセキュリティの確保を怠った場合、経営者に量刑を課すといったガイドラインがありますが、日本では急激にそのような「激しさ」を導入することはなく、「しなやかさ」を保ちながら制度が形づくられていくことを想定しています。要はどこまでを「義務」とするか。様々な問題も生じてくると思いますが、社会的に重要な金融や生命、暮らしに深く関わっている部分などでまず、社会的な要請として義務化「せざるをえない」部分が見出される、といったように段階を経て、緊張関係を保ちながら進めていければと思っています(山崎氏)』 道のりは長いかもしれないが、行き着くところはセキュリティ評価が企業の評価に直結するような、いわゆるレーティング(格付け)がなされる時代といえる。その道のりの入り口に立つ、現在の企業の情報セキュリティはどうなっているのか。『たとえば、“パッチ”をあてる作業。情報セキュリティ対策の基本中の基本ですが、これとてパッチをあてることにより別の脆弱性が生じたり、必ずしもプラスに転ずるわけではないという実状があります。こうした点を逐一考慮しながら作業を進める必要があるとともに、パッチ自体が1日に数十件も公開される日があるなど、現場を担当する社員の負荷はとても大きいといえます。 情報セキュリティは歴史がまだ浅いので、現在ほとんどの経営者層は、実際に肌で触れてきた経験がありません。それこそ現場のスタッフは徹夜で作業することもしばしばですが、経営者層にはその経験がない。やはり現場のスタッフが徹夜に耐えうる、努力を継続できるということは、その根底には「この分野が好き」だからなしえてる、ということも多分にあると思うんです。そこで「好きなんだから苦ではないよね?」という発想が周囲に生まれたり、正当に評価されない場合が多々出てくる。数値的、定量的な評価の仕組みがないことが原因です。思うに、今後たどり着くであろう「企業単位のレーティング」と、社内の部門や人間に正当な評価を与える「社内のレーティング」とは、客観的視座が必要という部分も含めて同一線上のもので、連動していると思います。その意味では、「見せる」「わからせる」「共有化する」するというステップが企業内で必要不可欠で、経営層も現場も、同じ視点で“見える”環境を作り出すことが大切です。私どものビジネスは単なるツールを提供するのではなく、こうした環境を提供してゆくことだと捉えています(北村氏)』 情報セキュリティに関する「目に見える」物差しづくりは、経済産業省もこれまでにいくつか着手、導入している。製品の安全面では、ISO15408にもとづく評価承認スキーム。マネジメント面においては、ISMS認証。山崎氏は「セキュリティ監査は、ちょうど両者の中間に位置するもの」と語っている。>> 監査、認証、VA……官民がアプローチする「事前」の対応 「情報セキュリティ総合戦略」内のキーワードとして掲げられている「事故前提社会」の構築。これには対症療法的な対応のみならず、事故、事件の「予防」も重要なスキームであると謳われている。そして、セキュリティ監査や認証、基準といったものも、広義に捉えれば「予防」に属する。情報セキュリティマネジメントを確立させ、穴を未然に塞ぐ姿勢、真にセキュアな「事前」の対応とは何なのか。『事前の対応ツールでいえば、IDS。この普及率は、日本ではまだ30%程度ですが、米国では60%を超えるといわれています。ただ、IDSは運用そのものに労力を要するものといえます。膨大な量のログが送られてきて、それの検証や、対応をしている間に被害に見舞われる、といったケースも起きています。セキュリティホールの判明から、そこを突くウイルスの出現までのタームが短縮化している現状もあり、理論よりも実務として、一定のプロテクトに結びつけることはなかなか難しい。そこで米国では、さらにその「事前」で、効率よく何ができるか、といったところにスポットがあてられ、VA(脆弱性判断)などの考えに行き着いています。 事後の対応にかかるコストは甚大。であるならば、予防に予算を割り振り、結果としてトータルコストを下げよう、という発想です。今後はIDSとVAの需要が逆転する可能性も大いにあります。VAや、弊社で取り扱っている nCircle IP360などの予防ツールは脆弱性をモニタリングして危険度レベルを数値化し、そのリスクを客観的に判断できるようにするもので、いわば「経営者と現場の共通語」であり、“見える”ツールであるといえます(北村氏)』 現在の日本では、VAに比べIDSの知名度が高い。しかし米国では、米海軍情報局やVISAインターナショナル社、パテルコユニオン社をはじめとする各大手金融機関などの重要インフラにおいてVAツールの導入が進んでいる。こうしたツールにより、これまで漠然としていたトレードオフの相対関係が明らかになり、投資や意思決定がスムースになることが予測できる。そして企業のみならず政府も、こうした経営判断の材料を提供しようとしている。『予防は確かに重要だと思います。ただ同時に、トータルコストを下げる部分ばかりにマネジメント層がとらわれていても、うまくいかないはずです。一定レベルのセキュリティを保つためには、コストが上がるということも許容する必要があると思います。きっちり守ろうとすれば相応のコストがかかる、そうした認識を抱いてもらうために、今後は何かベンチマークのようなものを作成することも検討します。こういったレベルのものを作ればこれくらいコストを要します、といったベンチマークで、それを参照すると投資や意思決定がやりやすくなるようなものですね。ただ、こうしたものもすぐに策定できるわけではなく、吟味を重ねる必要がありますので、やはりVAツールなども駆使して、継続的な予防をしていかねばならないと思います(山崎氏)』 経済産業省の調査によると、今回のMS Blasterには国内の約2割の企業が感染し、そのうち約半数の企業で1日以上、業務が停止したという。「物理的に何かがなくなった、莫大なカネがなくなった、というわけではないため認識しづらいが、明らかな機会ロスであることは間違いない」と山崎氏はいう。たしかに機会ロスを換算して数値化すれば、莫大な損益であることがわかるだろうが、やはり経営者層がそういった数値から目をそらす傾向があることも確かだ。 今後、“官”の立場である経済産業省では先の戦略を中軸に据えながら、ベンチマークの提供や、日本独自の評価基盤となりうる脆弱性分析センターの構築などを視野に入れ、セキュリティ水準の向上を目指していく。一方、“民”の立場である京セラコミュニケーションシステムも、情報セキュリティに関する働きかけを続け、レーティングの下地づくり、経営者層と現場とが同じ視点を持ち、セキュリティ意識を共有できる環境づくりを目指す。 情報セキュリティ水準が一定レベルに向上し、今よりもいっそうセキュアな環境に近づいたと誰もが実感できたとき、再びお二人にお話を聞き、さらなる高みについて意見を交換できる日が来ることを切に願う。(おわり)◇経済産業省 情報セキュリティに関する政策、緊急情報 http://www.meti.go.jp/policy/netsecurity/index.html ◇経済産業省 情報セキュリティ総合戦略 http://www.meti.go.jp/policy/netsecurity/strategy.htm ◇京セラコミュニケーションシステム株式会社 http://www.kccs.co.jp/ [ Prisoner DAMRAK ]
