情報セキュリティの10大潮流 [1] 第1の大潮流「セキュリティ管理の確立」【前編】

　本連載では、情報セキュリティの進化の中の10大潮流を取り上げていきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子社会の構築」の二つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感につい

特集特集

2009年7月7日（火） 16時30分

　本連載では、情報セキュリティの進化の中の10大潮流を取り上げていきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子社会の構築」の二つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。今回のコラムでは、第1の大潮流として「セキュリティ管理の確立」について説明します。

1. 情報セキュリティの大潮流

　情報セキュリティは前回のコラム（2009.05.01(*参考1)）でも説明しましたように、技術をベースとして始まり、セキュリティのマネジメント時代を経て、現在ガバナンスの時代に入っております。この情報セキュリティは、主に組織内（企業や行政府など）の「セキュリティ管理の確立」に向けた動きとネットワークを通じた電子取引を視野に入れた「安全安心な電子社会の構築」に向けた動きの二つに分けられます。

*参考1 前回のコラム「情報セキュリティの10大潮流」
http://www.nttdata-sec.co.jp/article/security/090501.html

(1)セキュリティ管理の確立【カテゴリ1】

　「セキュリティ管理の確立」は、1990年代後半から2000年代初頭にかけて世界的な動きとなったセキュリティの評価・認定の基準となる標準化や制度の構築です。これが第1の潮流「セキュリティ評価・認定フレームの確立」です。この評価認定制度の確立と同時期に、個人情報の漏えいにかかわる「個人情報保護法」、営業秘密の漏えいにかかわる「不正競争防止法」が相次いで制定され、これが第2の潮流「情報漏えいへの社会的取り組み」です。これらの情報漏えい防止に関する法律の制定により、セキュリティ管理が特にわが国において定着したといえます。

　さらに米国SOX（企業改革法）を契機として企業のガバナンスが世界的に求められ、日本でも2006年に金融商品取引法の中で証券取引法の改正の形で日本版SOX法が制定されました。SOX法では企業内の内部統制が求められますので、当然情報セキュリティはその要になっております。これが第3の潮流「ガバナンス（内部統制）時代の到来」です。

　SOX法や新会社法に見られるように企業には、内部統制を通じた社会的責任(CSR)が強く求められるようになってきました。こうした動きを企業へのリスクと捉えて、新しいリスクマネジメントに基づいたビジネス展開を進めるイノベーションがおき始めています。これが第4の潮流「新しいリスクマネジメント」です。

　第5の潮流「事業継続管理(BCM)」は、国際的な議論も進み、そろそろ国際標準化（ISO化）されようとしています。日常的には頻度は少ないものの、想定される被害が大規模な災害、テロ、新型インフルエンザに対応したBCMが注目されているところです。

(2)安全安心な電子社会の構築【カテゴリ2】

　安全な電子政府に向けて国が動きだした2005年には、内閣官房情報セキュリティセンタ(NISC)が開設され、個人から企業・自治体、商取引、インフラの各分野で精力的に展開し始めました。これが第1の潮流「情報セキュリティ政策の推進」です。安全安心な電子社会構築のうちで商取引の安全性を確保する技術開発や法制度が整備されつつあります。これが第2の潮流「安全な商取引の展開」です。

　一方電子社会の進展にともなってペーパドキュメントに代わって電子ドキュメントの流通が必須となり法整備も進んできました。同時に…

【執筆：元東京大学客員教授林誠一郎】

＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ　セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》