[木内里美の是正勧告]

セキュリティは自分で守れ

木内里美の是正勧告 第8回

2009年5月11日(月)木内 里美(オラン 代表取締役社長)

海外を旅すると、いかに日本が安全な国であるかを痛感する人は、多いのではないだろうか。筆者もその一人で、日本ほど安全に一人で夜道を歩ける国はないとさえ思っている。半面、その安全・安心に浸っているうちに、国防においても日常においても、セキュリティの他人依存と、ある種の“セキュリティ呆け”を起こしていることが気にかかる。企業における情報セキュリティも同様だ。表面的あるいは問題対応型の対策に終始し、本質に思慮が至っていないケースが多く見受けられる。

国の情報セキュリティ基本計画

今年2月に発表された「第2次情報セキュリティ基本計画」を、ご存じだろうか?政府のIT戦略本部の下に設置された「情報セキュリティ政策会議」が承認した、“情報セキュリティに関する国全体の設計図”と言えるものである。

実際の議論・策定は、同会議の中に設けられた「基本計画検討委員会」が担当し、1年間の議論とパブリックコメントを経て策定されている(ちなみに筆者も委員会に参画していた)。

第1次の基本計画は、「情報セキュリティ政策の立ち上げと気づき」を主眼としていたが、第2次は「事故を前提とした社会」を認識し、現実的で合理性なセキュリティ施策を求めている点が特徴である。つまり12月号の本欄に書いた「情報システムに無謬性は有り得ない」と同様に、まず情報セキュリティにも無謬性がないことを認識。その上で経済性と効果を考慮して、必要な対策を実行すべきというものだ。

特に金融や運輸、公共といった重要インフラについては、障害リスク対策のための各分野横断的な情報共有を担う「セプターカウンシル」という会議体も創設した。「計画で示されたことを、どこまで確実に実践できるか」という課題は残るが、現実的な計画になったと思う。

外部だけでなく内部にも留意を

一方、一般企業にとっての情報セキュリティは、経営におけるリスク管理の要素の一つであり、それだけが特別扱いされることは好ましくない。まして情報システム部門に押し付けているだけでは、リスクコントロールはできない。入退室管理、破壊行為の防止といったフィジカルなセキュリティや、逆にシステムをいつでも使える状況を担保することも、包含する必要がある。IT利用環境には無謬性がなく、脆弱であることを前提に、リスク管理をしなければならない。

ここで注意すべきなのが、情報セキュリティ問題というと、ともすれば外部からの不正アクセスや侵入、攻撃などに目がいってしまうことである。確かに経済的な利益を目的とする悪質なソフトウェアや迷惑メール、外部からの遠隔操作で攻撃する特殊なウィルス「ボット」など、巧妙化した攻撃ツールは増加傾向にある。それを阻止する対策は必要であり、きちんと実施しなければならない。

しかし情報セキュリティ問題の実態からすると、一般企業にとっての脅威は、外部よりもむしろ社内や取引関係先など、「内部」に起因するものがはるかに多い。しかも厄介なことに、大半は人的問題である。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
バックナンバー
木内里美の是正勧告一覧へ
関連キーワード

日本政府 / 重要インフラ

関連記事

トピックス

[Sponsored]

セキュリティは自分で守れ海外を旅すると、いかに日本が安全な国であるかを痛感する人は、多いのではないだろうか。筆者もその一人で、日本ほど安全に一人で夜道を歩ける国はないとさえ思っている。半面、その安全・安心に浸っているうちに、国防においても日常においても、セキュリティの他人依存と、ある種の“セキュリティ呆け”を起こしていることが気にかかる。企業における情報セキュリティも同様だ。表面的あるいは問題対応型の対策に終始し、本質に思慮が至っていないケースが多く見受けられる。

PAGE TOP