NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流-その6-
~情報セキュリティ政策の推進~
NTTデータ・セキュリティが創立10周年を迎えるのを機に、情報セキュリティの大潮流について解説していきます。
連載では、情報セキュリティの進化の中、10周年にちなんで10大潮流を取り上げていきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子社会の構築」の2つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。<参考1>
第6回目はカテゴリ2の「安全安心な電子社会の構築」の第1の大潮流として「情報セキュリティ政策の推進」について説明します。
http://www.nttdata-sec.co.jp/article/security/090715.html
■■ 安全安心な電子社会の構築【カテゴリ2】 ■■
第1の潮流「情報セキュリティ政策の推進」
安全な電子政府に向けて国が動きだした2005年に、内閣官房情報セキュリティセンター(NISC)が開設され、個人から企業・自治体、商取引、インフラの各分野で精力的に情報セキュリティについて取組み始めました。今回のコラムでは、第一の潮流として「情報セキュリティ政策の推進」について解説します。
1. 内閣府情報セキュリティセンター(NISC)の創設
ITの急速な発展と普及に伴い、その重要性が増す反面、ITに障害が起きた場合には、国民生活や経済活動へ大きな打撃を与える可能性があります。さらに近年、官公庁や企業からの情報流出が相次ぎ、情報セキュリティ対策の不備が大きな社会問題となっています。
このような状況において、情報セキュリティ問題に対して適切な対応を取ることが欠かせないとして2005年4月、情報セキュリティ対策の中核組織の必要性を重視した政府は、我が国における情報セキュリティ政策の基本戦略を決定する「情報セキュリティ政策会議」と、その遂行機関である「内閣官房情報セキュリティセンター」<参考2> を設置しました。
<参考2>内閣官房情報セキュリティセンター(NISC)
http://www.nisc.go.jp/
2. セキュアジャパン計画
(1)これまでの主要な実績
「セキュア・ジャパン」の実現を目指した「第1次情報セキュリティ基本計画」(2006年2月)は、2008年度末でその計画期間を終え、2009年度から同計画を継続・発展させる「第2次情報セキュリティ基本計画」に基づく取組みが開始されました。
第1次基本計画における取組みについては、我が国における情報セキュリティ政策の立上げを中心とした戦略で、「セキュア・ジャパン」の実現に向けて、「体制構築」→「底上げ」→「集中的取組み」の各段階を経て、情報セキュリティ基盤を整備してきました。この結果「政府機関統一基準とそれに基づく評価・勧告によるPDCAサイクルの構築」や次世代の電子政府構築に向けた政府機関における安全な暗号利用の推進などに取組み成果をあげてきました。
(2)2009年度以降の方向
第1次基本計画に基づく整備が進んでいるにもかかわらず、今日なお情報セキュリティの脅威は続いており、さらなる施策の継続と新たな展開が求められているところです。そのため、第2次基本計画では「事故前提社会」の掛け声の基に対応力強化を中心に掲げ、以下の計画の展開が始動し始めたところです。
- 「事故前提社会」への対応力強化のための基盤づくり
第1次基本計画に基づく整備が進んでいるにもかかわらず、今日なお情報セキュリティの脅威は続いており、さらなる施策の継続と新たな展開が求められているところです。そのため、第2次基本計画では「事故前提社会」の掛け声の基に対応力強化を中心に掲げ、以下の計画の展開が始動し始めたところです。 - 「合理性に裏付けられたアプローチの実現」への取組みの開始
第1次基本計画においては、政府機関を中心に、情報セキュリティ対策の基盤整備を最優先とし、情報セキュリティ対策を実施するための体制を整備してきた反面、何をどこまで実施すれば良いかといった社会的合意が形成されるまでには至っておらず、費用対効果や対策の持続性といった面で課題が残されました。第2次基本計画においては、コストと効果のバランスを実現しつつ、情報セキュリティの取組みによって利便性を低下させることなく、むしろ利便性を確固としたものとするような取組みを行うことに力点を置く。 - 国際連携・協調の推進
官民連携を中心とした取組みが世界最先端・最高のベストプラクティスとして世界に貢献することを目標とした施策を重点的に推進。
<参考>内閣府第2次情報セキュリティ基本計画
http://www.nisc.go.jp/materials/index.html
3. 暗号政策
情報セキュリティに対する要求が高度化する中で情報セキュリティの基盤である暗号について安全で、実用的な暗号方式の評価体制が整備されてきました。
(1) 暗号危殆化とその影響
インターネットに代表されるネットワークを通じたサービスを安全に提供するためには、暗号が不可欠な状況になってきました。従って、暗号自身の安全性も強く求められるようになってきたと言えます。暗号が破られてしまうと、インターネットでの購入や支払い、個人情報の保護が保証できなくなってしまいます。電子政府でも広く使われていますから、電子政府システムに対しても広範に影響が及ぶことになります。
このため、総務省及び経済産業省が共同で開催する暗号技術検討会と、独立行政法人情報通信研究機構(NICT)及び独立行政法人情報処理推進機構(IPA)が共同で開催する暗号技術監視委員会及び暗号モジュール委員会で構成される電子政府推奨暗号の安全性を評価・監視し、暗号モジュール評価基準等の策定を検討するプロジェクト(CRYPTREC:Cryptography Research and Evaluation Committees)が創設されました。CRYPTRECは、公募された暗号技術及び業界で広く利用されている暗号技術を評価・検討し、安全性及び実装性能ともに優れたものを選択しました。この評価結果を基に総務省と経済産業省は、2003年2月20日に「電子政府」における調達のための推奨すべき暗号のリスト(電子政府推奨暗号リスト)を公表しました。
<参考>CRIPTREC
http://cryptrec.go.jp/about.html
4. 情報セキュリティガバナンス
経済産業省では、企業における情報セキュリティの取組みが依然として進んでいないとの認識に立ち、「企業における情報セキュリティガバナンスのあり方に関する研究会」を開催し、平成17年3月に検討結果を報告しています。情報セキュリティガバナンスの確立を促進するための施策ツールとして先に挙げた研究会では以下の3つの提言し、情報セキュリティそのものに対するガバナンスの構築を推進するべく活動を続けています。 なお、研究会の報告書では情報セキュリティガバナンスを「コーポレート・ガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用すること」と定義しています。 。
- 情報セキュリティ対策ベンチマーク
企業の属性毎にセキュリティ対策水準を示すとともに、望まれる水準をレーダチャートで示しています。 - 情報セキュリティ報告書モデル
企業の情報セキュリティに関する取り組み状況を開示して、顧客や投資家等のステークホルダから適正に評価されるために、報告すべき事項を中心に雛形を示しています。 - 事業継続計画(BCP)策定ガイドライン
事業継続計画に関わる計画・実行・評価・改善のPDCAサイクルの具体的手順について示しています。
<参考>情報セキュリティガバンス(経済産業省)
http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html
次回予告
次回は、カテゴリ2「安全安心な電子社会の構築」の第2の潮流「安全な商取引の展開」について解説します。
創立10周年特別コラム連載BackNumber
Writer Profile
NTTデータ・セキュリティ(株)
エグゼクティブ・セキュリティマネージャ
林 誠一郎
1974 年:電電公社横須賀電気通信研究所に入所(大型計算機アーキテクチャの研究)
1983 年:電電公社研究開発本部(研究戦略の策定)
1991 年:NTT本社・技術調査部・部長(技術戦略の策定)
1993 年:NTT 情報処理研究所主幹研究員(暗号技術の研究開発)
1995 年:NTT データ技術開発本部・部長(セキュリティ技術の開発)
1999 年:NTTデータ金融事業本部・部長
1999 年:日本インターネット決済推進協議会 理事・副事務局長
2002 年:東京大学 国際・産学共同研究センタ・客員教授
2005 年:NTTデータ・セキュリティ(現職)
