2005年01月27日(木) 01時35分
「セキュリティ、どこまでやれば大丈夫?」——経産省、不安をなくす指標作りへ(ITmediaエンタープライズ)
「改めて基本に立ち返って考えてみると、情報セキュリティへの投資はなぜ進まないのか? なぜ情報セキュリティ対策が進まないのだろうか? いくつか要因はあるが、中でも多いのは『費用対効果が見えない』『どこまでやればいいのかが分からない』といった声だ」(経済産業省商務情報政策局 情報セキュリティ対策室 課長補佐の田辺雄史氏)。
IDGジャパンは1月26日、「Security Tech Update」を開催した。基調講演の中で田辺氏はこのように語り、情報セキュリティ対策への投資を適切に行うための「判断指標」が求められるし、その投資が世の中からきちんと企業価値として「評価」されるような仕組み作りが必要だと訴えた。
田辺氏が講演の中で繰り返し強調したのは、セキュリティマネジメントの重要性だ。「一時期は情報セキュリティ対策というと技術的対策に偏り、『ウイルス対策ソフトを導入したから大丈夫』『ポリシーを作ったから大丈夫』といった思い込みもあった。しかしそれだけでは不十分。一番大事なのは組織的な情報セキュリティ対策だ」(田辺氏)。
同氏は、事故が起こりうることも前提に入れて継続的なセキュリティ対策を進めていくには、情報セキュリティマネジメント(管理)が不可欠であり、ひいては情報セキュリティガバナンス——情報セキュリティを高いレベルで維持していくための構造——を企業に実装していくことが必要だという考えを示した。
●対策の度合いを測る「ものさし」を
ただ、そこで障害となるのが「何をどこまでやればいいのか分からない」という問題だ。そこで経済産業省では、情報セキュリティマネジメントシステム(ISMS)適合性評価制度や情報セキュリティ監査制度といったこれまでの取り組みに加え、情報セキュリティ投資の「指標」「ものさし」作りを検討していくという。
田辺氏によると、そうしたものさしの例として、レーダーチャート型の「対策ベンチマーク」が検討されているという。ポリシーやウイルス対策、物理的対策、社内教育、委託先の検査などの項目ごとに数段階のレベルを示し、「いま自社に足りないのは何か」「どのくらい足りないのか」をグラフィカルに示すものだ。
一方、企業の情報セキュリティに対する取り組みを世の中から評価してもらう仕組みとして、「情報セキュリティ報告書」というアプローチも紹介した。自社のセキュリティポリシーや対策実施状況を公表することで、コンプライアンスや社会責任を果たしていこうという試みだ。
「『環境報告書や知的財産報告書などを作っているのに、そのうえさらに報告書を作るの?』などという声もあるが、先進的な企業の中には、既に有価証券報告書やCSR報告書の中で情報セキュリティ対策に触れているところも出てきている」(田辺氏)。
さらに、狭義のセキュリティ問題にとどまらず、さまざまなIT事故やトラブルから企業のビジネスを守ることを目的に「事業継続計画(BCP)の入門書となるガイドラインを用意する」(田辺氏)という。
2001年の同時多発テロという背景の違いもあるだろうが、米国では9割もの企業がBCPを用意しているのに対し、日本の企業は「圧倒的に作っていない」(同氏)状態。このガイドラインを通じて、BCPとはどういったもので、何をなすべきかを示し、事業継続性の必要性を認識してもらいたいという。こうした取り組みが進めば、最終的には「企業の競争力強化につながるのでは」と同氏は予測する。
田辺氏は最後に、「2005年のキーワードの中でも重要なのは2つある。1つはサプライサイドではなく、システムを使う側、ユーザーサイドのセキュリティ強化。そしてもう1つはセキュリティ文化の実装だ」と述べ、日本におけるセキュリティ文化の醸成と広がりを目指したいという姿勢を示した。
なお田辺氏は講演の中で、国内でも被害が広がりつつあるフィッシング詐欺への対応にも言及している。「私もいくつかフィッシング詐欺メールを受け取ったが、けっこうよくできている」(同氏)。ただ対策となると、大きな被害を出している振り込め詐欺と同じで、手口を告知し、それに近づかないよう普及啓発していくしかないもという。
経済産業省は先に「フィッシング・メール対策連絡会議」を開催しているが、「フィッシングの手口をオープンにして、ユーザーに注意を呼びかける組織を作っていけないかを検討していく」(同氏)。
■関連記事
「自分たちの活動を継続させるためのセキュリティを」——山口英氏講演
セキュリティ対策は「企業の社会的責任」に
経産省がフィッシング対策会議、Yahoo!や楽天も参加
http://www.itmedia.co.jp/enterprise/ (ITmediaエンタープライズ) - 1月27日1時35分更新
http://headlines.yahoo.co.jp/hl?a=20050127-00000001-zdn_ep-sci