脱・気合いと根性のセキュリティ、パブリックコメントを受け付け

2009年度のセキュリティ政策は「事故前提型」で

2009/05/13

 政府の情報セキュリティ政策会議は5月8日、2009年度の情報セキュリティ施策をまとめた「セキュア・ジャパン2009」の草案を公開した。5月29日までの間、パブリックコメントを受け付けている。

 セキュア・ジャパン2009(案)は、2月に決定された3カ年計画「第2次情報セキュリティ基本計画」を踏まえ、政府機関や重要インフラにかかわる事業者、企業や個人が具体的に取り組むべき項目をまとめたものだ。

 第2次情報セキュリティ基本計画は、それまでに見られなかった2つの方向性を打ち出している。1つは「『「事故前提型社会』への対応力強化のための基盤作り」に言及していることだ。「リスクはゼロにならない、無謬性はない」ということを認識し、万一事故が起こった場合には、思考停止に陥ることなく、冷静かつ迅速に対策を取れるような体制作りに取り組む。

 もう1つは、「合理性に裏付けられたアプローチの実現」だ。守るべき情報資産の価値やリスクの大きさに応じて、最適な水準の対策を実現することを狙っている。別の言葉でいえば「気合いと根性に頼るセキュリティ」ではなく、費用対効果や利便性とのバランスにおいて合理的に対策を進めることを目指す。

 この第2次計画は、過去3年間にわたって実施されてきた「第1次情報セキュリティ基本計画」への評価を踏まえてまとめられたもの。情報セキュリティ政策会議ではこうした過去の取り組みについて、セキュリティ対策の重要性が認識され、事前の対策もある程度進むなど一定の成果が得られたと評価し、さらなる底上げを目指している。セキュア・ジャパン2009案も、セキュリティ対策の基盤ができてきたということは「成果であると同時に限界である」という認識に立って、先に挙げた情報セキュリティに対する新たな取り組みの「自覚」を促すことを目指している。

 経済危機の影響を踏まえた施策が盛り込まれていることも特徴だ。経済状況の悪化により、企業のIT予算、セキュリティ対策予算も縮小傾向にある。また、退職を余儀なくされた元従業員が、顧客名簿を盗み出して売りさばいてしまうといった、モラルハザードが発生する可能性も否定できない。

 セキュア・ジャパン2009(案)では、経済危機を受けて策定された「IT3カ年緊急プラン」の中に、情報セキュリティ対策が不可欠な要素として組み込まれている事実に触れており、税制優遇装置など、何らかの下支え策を検討していくものと見られる。また逆に、セキュリティ対策を進めることが企業にとって何らかのインセンティブになるような方策も考えられるだろう。さらに、ASPやSaaSの利用も含めた、新たな技術戦略の推進にも取り組むという。

 情報セキュリティ政策会議はほかに、4月に発生した政府機関Webサイトの改ざん事件にも言及している。この事件を踏まえ、緊急対応体制の再検証が必要という認識に立ち、改ざんなどが発生した際に迅速な対策を講じるための体制やルールの確認、徹底を図るとしている。

 さらに、重要インフラ事業者間で分野横断的に情報共有を行うための協議会「セプターカウンシル」の創設をはじめとする重要インフラにおける情報セキュリティ対策の推進、ASEANをはじめとする諸外国との国際連携・協調などの施策に取り組んでいく。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間