脱・気合いと根性のセキュリティ、パブリックコメントを受け付け
2009年度のセキュリティ政策は「事故前提型」で
2009/05/13
政府の情報セキュリティ政策会議は5月8日、2009年度の情報セキュリティ施策をまとめた「セキュア・ジャパン2009」の草案を公開した。5月29日までの間、パブリックコメントを受け付けている。
セキュア・ジャパン2009(案)は、2月に決定された3カ年計画「第2次情報セキュリティ基本計画」を踏まえ、政府機関や重要インフラにかかわる事業者、企業や個人が具体的に取り組むべき項目をまとめたものだ。
第2次情報セキュリティ基本計画は、それまでに見られなかった2つの方向性を打ち出している。1つは「『「事故前提型社会』への対応力強化のための基盤作り」に言及していることだ。「リスクはゼロにならない、無謬性はない」ということを認識し、万一事故が起こった場合には、思考停止に陥ることなく、冷静かつ迅速に対策を取れるような体制作りに取り組む。
もう1つは、「合理性に裏付けられたアプローチの実現」だ。守るべき情報資産の価値やリスクの大きさに応じて、最適な水準の対策を実現することを狙っている。別の言葉でいえば「気合いと根性に頼るセキュリティ」ではなく、費用対効果や利便性とのバランスにおいて合理的に対策を進めることを目指す。
この第2次計画は、過去3年間にわたって実施されてきた「第1次情報セキュリティ基本計画」への評価を踏まえてまとめられたもの。情報セキュリティ政策会議ではこうした過去の取り組みについて、セキュリティ対策の重要性が認識され、事前の対策もある程度進むなど一定の成果が得られたと評価し、さらなる底上げを目指している。セキュア・ジャパン2009案も、セキュリティ対策の基盤ができてきたということは「成果であると同時に限界である」という認識に立って、先に挙げた情報セキュリティに対する新たな取り組みの「自覚」を促すことを目指している。
経済危機の影響を踏まえた施策が盛り込まれていることも特徴だ。経済状況の悪化により、企業のIT予算、セキュリティ対策予算も縮小傾向にある。また、退職を余儀なくされた元従業員が、顧客名簿を盗み出して売りさばいてしまうといった、モラルハザードが発生する可能性も否定できない。
セキュア・ジャパン2009(案)では、経済危機を受けて策定された「IT3カ年緊急プラン」の中に、情報セキュリティ対策が不可欠な要素として組み込まれている事実に触れており、税制優遇装置など、何らかの下支え策を検討していくものと見られる。また逆に、セキュリティ対策を進めることが企業にとって何らかのインセンティブになるような方策も考えられるだろう。さらに、ASPやSaaSの利用も含めた、新たな技術戦略の推進にも取り組むという。
情報セキュリティ政策会議はほかに、4月に発生した政府機関Webサイトの改ざん事件にも言及している。この事件を踏まえ、緊急対応体制の再検証が必要という認識に立ち、改ざんなどが発生した際に迅速な対策を講じるための体制やルールの確認、徹底を図るとしている。
さらに、重要インフラ事業者間で分野横断的に情報共有を行うための協議会「セプターカウンシル」の創設をはじめとする重要インフラにおける情報セキュリティ対策の推進、ASEANをはじめとする諸外国との国際連携・協調などの施策に取り組んでいく。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。