未踏ソフトウェア事業や次世代ソフトウェア事業、セキュリティ関連事業など、独立行政法人・情報処理推進機構(IPA)が日ごろ手がける各種の事業の成果を発表する「IPAX Autumn 2004」が、9月9日・10日の両日、東京国際フォーラムにて開催された。中でも注目は2日目の特別講演で、ここには奈良先端科学技術大学院大学教授で、現在内閣官房の情報セキュリティ対策推進室・情報セキュリティ補佐官を務める山口英氏が講師として登場、昨今の情報セキュリティに関する問題に関する思いのたけを語った。

情報セキュリティにパラダイムシフトが起きている

まず同氏は、ここ1～2年で情報セキュリティに求められる内容が大きく変化し、従来は主にマシンを守ることに重点が置かれていたものが、情報そのものを守ることにポイントが移行しつつあることを指摘した。その上で「各種のP2Pソフトに代表されるような、現在のインターネットのアーキテクチャが作られた約10年前には想像もつかなかった脅威が顕在化しているし、それを守る側でも検疫システムなどといった新しい接続アーキテクチャが出てきつつある」と語り、情報セキュリティの世界が大きなパラダイムシフトに入りつつあるとの考えを披露。参加者に「昔からの常識でセキュリティを考えていると失敗する」と警告を発した。

山口英氏	昨今の情報システムを取り巻くリスクの例

同氏は、インターネットが今や社会インフラとして必要不可欠なものになっていることを様々な例を挙げて強調しながらも、「インターネットのアーキテクチャではエンドノードのオペレータにセキュリティが突きつけられる仕組みになっているのに、ほとんどの人が『自分がセキュリティに関する責任を持っている』という意識が希薄だ」「セキュリティにコストがかかることをぼやく人が多いが、そもそもそういうアーキテクチャを選択したことに責任があることを自覚しなければならない」と語り、ネットワークの通信コストが劇的に安くなったことの代償として、従来通信キャリアが負担してきたセキュリティに関する費用負担を、今度はユーザが負う必要があることを参加者に訴えた。

また同氏は、ネットワーク利用におけるリスクマネジメントの重要性を訴えた上で「最近ではビジネスの継続性を考える上でシステムのセキュリティの重要性が増している」「もしシステムにトラブルが発生すると、その間業務がストップするだけでなく、オンタイム取引を逃すことによる利益の喪失、情報漏えいによる損害賠償などといった問題が起こり、今まで企業が経験したことのないコストの高いオペレーションが必要になる」と、今やセキュリティの評価が企業におけるビジネスの継続性の確保に不可欠であると述べた。

セキュリティの確保には企業のトップの適切な決断が不可欠

このような前提を前にして、企業はどのようにセキュリティに対して取り組めばいいのか。同氏はこの疑問に対し「以前は『セキュリティ＝ロスセンター』という考え方が一般的だったが、今やセキュリティは組織の基礎体力を挙げる重要な改善運動になっている」と述べ、セキュリティを考えることが企業活動全体の見直しに直結し、ビジネスの効率改善などさまざまな部分への波及効果をもたらすという考えを示した。

同氏は個人情報漏えい防止のための体制整備を例に取り「だいたい過去の事例を見ていると、社員の場合は金銭トラブルを抱えている社員が情報を持ち出す例が多いし、派遣社員はそもそも企業に対する忠誠心を持っておらず危険度が高い」と述べた上で、「IT部門ではこういった個々の社員が抱えるリスク情報を知らないのが一般的だが、本来まじめに情報管理を行うのであればそういったリスク情報も考慮に入れた権限のコントロールを行う必要がある」と発言。しかしそうなるとIT部門が人事の考課情報などを基にした今までよりも強力なコントロールの権限を持つことになり、社員からは反発も予想されるため、「なぜそのような強い権限が(IT部門に)必要なのかを説明する必要があり、それは企業のトップの仕事だ」と述べた。

またセキュリティに対する投資には常にコスト意識を持たないと際限のない投資につながってしまうことから「いかにして業務評価をしながら投資を行っていくか、本当にその投資がProfitable(有益)なのかを考える必要がある」と同氏は語り、「結局そうやってリスク評価を行っていくと、それはそのままビジネス評価になってしまっている」として、最終的にそういった問題を総合的に判断して決断を下せるのは企業や組織のトップの人間しかいないということを改めて強調した。

セキュリティポリシーは自分の言葉で「理想のモデル」を想定しつつ書くこと

最近は各企業でセキュリティポリシーを定めるような動きが目立つが、同氏はこの動きに対しても「形式にとらわれるのではなく、自分の企業にとって重要なことは何かといった組織哲学を自分の言葉で書くことが重要」として、えてして先行する他の組織のポリシーをコピー&ペーストしがちな企業の現状に釘を刺した。

またISO17799やプライバシーマークなどの認証を取るような動きについても「現実にセキュリティを確保するのにはあの手この手の対応が必要であり、一つの基準で全ての問題を解決できるわけではない」「『～の基準に従っているから大丈夫』という言い方が出るのは危険なサインだ」と述べ、単に認証を取って安心するのではなく、その後も常に自分の組織にとって「理想のセキュリティモデル」とは何かを考えつつ、それに少しでも近づくための臨機応変な対応が必要だとの考え方を披露した。

ただ臨機応変な対応を行おうとすると、どうしてもマネジメント層から「この間決めたことをもう変えるのか」という文句が出ると同氏は語る。これに対しては同氏も「私もどう答えようか悩んでいる」と述べつつ「戦略は一貫しているが戦術は敵に応じて変える必要がある」などと答えることにしていると語ったが、実際には戦略から見直しを行わなければならないような状況もしばしば発生することから「そこをどうやってトップを説得するかが問題だ」と、一筋縄では問題が解決できない胸の内を明かす一幕もあった。