このページの本文へ

【RSA Conference 2003 Japan Vol.2】政府のセキュリティへの取り組み──経済産業省情報セキュリティ政策室長 大野氏が紹介

2003年06月05日 20時25分更新

文● 編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

“RSA Conference 2003 Japan”の“政府調達の現場と情報セキュリティ”セッショントラックでは、経済産業省 商務情報政策局 情報セキュリティ政策室長の大野秀敏氏が“情報セキュリティ政策 ~最新の動向と今後の展望~”と題した講演を行なった。

情報セキュリティに関する7つの取り組み

大野氏はまず、情報セキュリティ上の脅威について、SQL Slammerなどを例に「攻撃のレベルが日に日にレベルがあがっている」ことを指摘。犯罪検挙件数を元にしたネットワーク利用犯罪データについては、これまでのところ、わいせつ物の配布や著作権法違反など、ネットワークを利用した犯罪が中心で、不正アクセスなどは少ないとしながらも、「これは氷山の一角であり、政府としてきちんとしたデータを持っていないことは政策的な課題」であるとした。

政府としての取り組みについては、「政府は基本的な制度や基盤的なものを用意する」と語り、「基本的な技術が必要で、個人の意識や技術開発に期待している」と述べた。具体的な取り組みについては、以下の6つを説明した。

インシデント情報提供体制の構築
JPCERTが海外の情報収集や分析を行ない情報提供を行なう。電子政府向けの緊急対応センターも設立に向けて準備している。民間ベンダーやJPCERT、情報処理振興事業協会で連携しながら情報提供する。今後は業界ごとの緊急対応センター設立や、不正アクセスの定点観測システム設置、米CERTやアジア太平洋地域の同様の機関との連携で体制を強化する。
セキュリティ評価
製品のセキュリティ評価制度を用意する。海外ですでに政府調達の基準として利用されているセキュリティ評価基準“ISO 15408”(JIS X 5070)規格をベースに認定評価機関で製品をチェックする体制ができている。今後は国際的な相互承認の仕組みに参加できるようにする。
暗号化
すでに政府で調査を行ない、およそ10年程度は安全に使用できる暗号技術のリスト『電子政府推奨暗号リスト案』はできている。今後はこのリストのメンテナンスをすると同時に、これらの暗号技術を実装した製品の評価制度を用意する。
セキュリティ管理/監査
情報セキュリティ管理の国際標準“ISO 17799”(JIS X 5780)をベースに、セキュリティ管理をきちんと行なうことが必要。セキュリティ管理の評価体制を日本情報処理開発協会が運用しており、142の事業者が認定を受けている。今後はきちんとPlan-Do-Check-Actのサイクルを明確化することや、ISO 9001などほかの規格との整合性を検討する。また、電子政府を手始めに、きちんとセキュリティ管理が行なわれているかを監査したり、助言する仕組みを用意する。
人材育成
情報セキュリティアドミニストレータ試験を開始している。今後は人材のスキルを標準化するためのスキルマップ作成を行ない、人材の評価や育成の客観的な基準を用意する。
電子署名
電子署名および認証業務に関する法律が制定されており、認証事業者の認定などを行なっている。今後は電子政府システムの認証システム“GPKI”の導入や、PKIの国際相互認証試験などを進める。また、IPアドレスと関連情報の正当性について認証する“IPアドレス認証局”について、技術上、運用上の課題を調査している。

社会インフラとしての“IT”に対応したセキュリティ政策が必要

オープンソースへの取り組みについては「海外の政府でも研究されており、日本でもセキュリティ関連でオープンソースの研究を行なっている。ソースが公開されているからセキュリティが高いといった話もあるが、オープンソースだからといってセキュリティが高いわけではない。中身が大事」だと語り、(独)産業技術総合研究所で実験を行なっていることを紹介した。

今後の展望については、上記6つの取り組みに加え、「ITが社会経済システムのインフラそのものとなるだろう。ユーザー規模や情報システムの役割に応じた施策が必要になる」とし、刑事法政の見直しを行なっており、早ければこの秋の臨時国会で見直しが行なわれることを明らかにした。また、情報セキュリティ政策全体についても、全体像を俯瞰した『情報セキュリティ総合戦略』を9月を目処に策定し、リスク評価などの施策やソフトウェア脆弱性に関する社会的な施策についても検討するとした。

カテゴリートップへ

ピックアップ