[木内里美の是正勧告]

2009年5月11日(月)木内 里美（オラン 代表取締役社長）

国の情報セキュリティ基本計画

今年2月に発表された「第２次情報セキュリティ基本計画」を、ご存じだろうか？政府のIT戦略本部の下に設置された「情報セキュリティ政策会議」が承認した、“情報セキュリティに関する国全体の設計図”と言えるものである。

実際の議論・策定は、同会議の中に設けられた「基本計画検討委員会」が担当し、１年間の議論とパブリックコメントを経て策定されている（ちなみに筆者も委員会に参画していた）。

第１次の基本計画は、「情報セキュリティ政策の立ち上げと気づき」を主眼としていたが、第２次は「事故を前提とした社会」を認識し、現実的で合理性なセキュリティ施策を求めている点が特徴である。つまり12月号の本欄に書いた「情報システムに無謬性は有り得ない」と同様に、まず情報セキュリティにも無謬性がないことを認識。その上で経済性と効果を考慮して、必要な対策を実行すべきというものだ。

特に金融や運輸、公共といった重要インフラについては、障害リスク対策のための各分野横断的な情報共有を担う「セプターカウンシル」という会議体も創設した。「計画で示されたことを、どこまで確実に実践できるか」という課題は残るが、現実的な計画になったと思う。

外部だけでなく内部にも留意を

一方、一般企業にとっての情報セキュリティは、経営におけるリスク管理の要素の一つであり、それだけが特別扱いされることは好ましくない。まして情報システム部門に押し付けているだけでは、リスクコントロールはできない。入退室管理、破壊行為の防止といったフィジカルなセキュリティや、逆にシステムをいつでも使える状況を担保することも、包含する必要がある。ＩＴ利用環境には無謬性がなく、脆弱であることを前提に、リスク管理をしなければならない。

ここで注意すべきなのが、情報セキュリティ問題というと、ともすれば外部からの不正アクセスや侵入、攻撃などに目がいってしまうことである。確かに経済的な利益を目的とする悪質なソフトウェアや迷惑メール、外部からの遠隔操作で攻撃する特殊なウィルス「ボット」など、巧妙化した攻撃ツールは増加傾向にある。それを阻止する対策は必要であり、きちんと実施しなければならない。

しかし情報セキュリティ問題の実態からすると、一般企業にとっての脅威は、外部よりもむしろ社内や取引関係先など、「内部」に起因するものがはるかに多い。しかも厄介なことに、大半は人的問題である。