内閣官房情報セキュリティセンター(NISC) 山崎琢矢・参事官補佐

情報セキュリティ関連イベント「RSA Conference 2005 JAPAN」2日目、設立されたばかりの内閣官房情報セキュリティセンター(NISC)の山崎琢矢・参事官補佐が登壇、政府のセキュリティ政策の取り組みについて講演した。

山崎氏は、まず政府として国家セキュリティの意識を明確に意識する必要性を強調。そのうえで、政府関係からよく話が出がちな規制一辺倒のスタンスには明確に反対の姿勢を示す。また、山崎氏が政治家にセキュリティ政策について説明しようとすると、必ず偽造キャッシュカードの話が出てくるらしく、そうした話題性の高い危険に対して、一般ユーザーも「IT(インターネット)は危ない」という意識が出つつあると指摘、それに対してインターネットを管理しようとする動きに対しては「私は反対論者」と否定する。

山崎氏が期待するのは、企業の自主的な取り組みだ。ただし、セキュリティ対策が自己目的化しないことが重要で、さらにセキュリティ対策が企業価値向上に繋がるメカニズムが必要だ、という。

一般ユーザーを「保護」する観点でも、政府が一般ユーザーを守るだけではなく、ユーザー自身の防衛力を向上させることも重要だ。JR西日本の鉄道事故に触れ、「安全性を置き去りにして効率性を追求した結果」の事故という論調に対して、「安全性と効率性の両立が前提で、効率性を追求して、それに適した安全性」という視点でのぞむ必要性を訴える。

山崎氏は、今までのウイルス対策、Webサイト改ざん対策、個人情報漏えい、といったセキュリティ対策は、情報資産を守るという観点だったが、単に守るだけでなく、情報をどう戦略的に活用するか、事業継続性を確保するか、「企業価値向上に(セキュリティ対策の)軸足を移さないと、高い信頼性を持つ社会という国家的目標が実現できない」と指摘する。

そのうえで山崎氏は、4月25日からスタートした内閣官房情報セキュリティセンター(NISC)と、それに至る経緯を説明した。

端緒となったのは、2000年1月の「ハッカー対策等の基盤整備に係る行動計画」だ。政府の情報セキュリティ確保と重要インフラ防護の2つの観点から各種取り組みが進められ、2月には内閣官房に情報セキュリティ対策推進室が設立された。7月には「情報セキュリティポリシーに関するガイドライン」がとりまとめられる。山崎氏はこのガイドラインについて、セキュリティポリシーが必要という認知を広める大きなきっかけとなったとして、「今から見てもエポックメイキング」と賞賛する。ただし、すでに5年近くが経過して内容が古くなっているため、修正が必要との認識を示す。

その後、2004年まで推進室はわずか9人。政策立案などは各省庁に「丸投げ」(同)の状態だったそうだ。2004年には「e-Japan戦略II 加速化パッケージ」も発表され、情報セキュリティ補佐官が設置、情報セキュリティの第一人者である奈良先端科学技術大学院大学の山口英氏を補佐官として招いた。さらに情報セキュリティ基本問題委員会が設置され、政策の立案が進められた。

この委員会では「いきなり国家戦略を作れた」(同)が、対策推進室の人的資源の不足などをふまえ、「第1次提言」では新たな体制整備の必要性が訴えられた。政府の意志決定機関としてIT戦略本部内に「情報セキュリティ政策会議」(仮称)を、対策推進室を発展させた「国家情報セキュリティセンター」(仮称)をそれぞれ設置することが決まった。

それを受けて設立されたのが内閣官房情報セキュリティセンターだ。ちなみに、「第1次提言」で示された「国家情報セキュリティセンター」という名称は特殊である、という理由から「内閣官房情報セキュリティセンター」という名称になったらしい。

新たに設立されたNISCは、「基本戦略の立案」「政府機関総合対策推進」「事案対処支援」「重要インフラ対策」の4チームとなり、今年7月をめどに35人まで拡大、来年4月の本格稼働の際には、60人まで陣容を整える予定だという。

ちなみに政府の意志決定機関となる情報セキュリティ政策会議は、IT戦略本部の民間有識者が入れ替わる時期のため、まだIT戦略本部が開催されておらず、設立が決まっていない。ほぼ一新された民間有識者を交えたIT戦略本部の会議が5月中にも開催され、そこで政策会議の設立が正式に決まるそうだ。

これにより、政府の意志決定機関として情報セキュリティ政策会議が、省庁をまたいで横断的に戦略の立案や対策を整えるNISCという新たな体制が確立され、政府の情報セキュリティに対する体制が整えられるわけだ。

政府の新体制	NISCの機能

情報セキュリティ基本問題委員会は、今年4月に「第2次提言」を発表。従来政府が定義してきた「重要インフラ」を、「情報通信」「金融」「航空」「鉄道」「電力」「ガス」「政府・行政サービス」の7分野から、「他に代替することが著しく困難なサービスを提供する事業が形成する国民生活及び社会経済活動の基盤であり、その機能が停止、低下、または利用不可能な状況に陥った場合に、我が国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもの」と定義し直し、これによって「医療」「水道」「物流」などが新たに重要インフラとして設定された。

さらに、今まで重要インフラの防護というと、インターネットからのサイバー攻撃を想定していたが、人為的ミスや自然災害などでも重要インフラの停止が起こりえるうえ、基幹系のシステムはインターネットから切り離されているので安全、という論調もふまえ、重要インフラ停止の要因を「IT障害」と名付け、サイバー攻撃にとどまらずないセキュリティ対策の推進が必要と指摘。NISCを中心とした重要インフラの現状把握、情報共有体制の強化、総合的な演習を毎年度実施することなどが提言された。

重要インフラの相互依存の実情を把握する相互依存性解析などの実施	総合的演習は毎年度実施する予定

山崎氏はNISCの第1次プロジェクトとして、2005年中に3～5年の中長期計画である「第1次情報セキュリティ基本計画」(仮称)、企業・個人のセキュリティ対策のあり方の策定、夏までに「政府統一的安全基準(初版)」の策定、2005年度中の「政府統一的安全基準(初版)」にもとづいた第1回評価の実施、重要インフラ対策の新体制構築の検討といった作業を行う。本格稼働する2006年度以降は第2次プロジェクト実行を目指すという。

「何のための情報セキュリティ対策か、常に問い続けることが重要」と山崎氏。個人や企業が問題意識を持ち、セキュリティ対策を進めることと同時に、「効率性と安全性を両立した高いレベルの高信頼性社会を構築すること」を国の政策としてあげ、NISCが全体のコントロールタワーとして機能していくことを目指す考えだ。