政策と産業の最新動向を伝え、解説する“クオリティペイパー”


有賀貞一氏

有賀貞一氏

事故発生が常識化する時代の、セキュアなシステム企画・構築・運用

■講師3
AITコンサルティング代表取締役
有賀 貞一 氏

 

情報セキュリティ管理について日本政府が「事故前提社会」という表現を初めて用いたのは、2009年2月に発表した第2次情報セキュリティ基本計画からである。万全の防備は必須だが想定を超えるインシデントの発生を完全には食い止められない。2010年5月に策定された次期計画「セキュア・ジャパン2010」では脅威の兆候を捉えて先手を打つ、能動的な対応力の強化が各府省、地方自治体に求められた。もはや対症療法的な対策にとどまらず、情報システムと切り離せない業務設計、ビジネスモデル設計といった超上流段階からセキュリティに配慮したビルトイン型の対策が不可欠だ。セキュリティ確保の視点をすべてのフェーズでトータルに組み込んでいかなければ脇が甘くなる。重要データの優先順位を付け、管理対象とするシステムを洗い出し、セキュリティレベルをそれぞれ定める。アクセス制御の仕様は将来を見越して要件定義の段階で必ず行う。5年後にアクセス権限を変更するためにデータベースの大改修が必要になっても予算はおりないだろう。プログラムの脆弱性を定期的に診断して除去し、運用段階ではSOC(Security Operation Center)と連携し、不正侵入などのインシデントを監視し、対策を講じる。このPDCAサイクルを回すアプローチが「セキュアSLCP(Software Life Cycle Process)」だ。プログラムコードをチェックするツールや診断サービスもあり着手は容易だが、実際に取り組んでいる行政機関はほとんどない。セキュリティの重要性を理解する人材が乏しいことが原因だ。
これを踏まえて私が座長を務める、産業構造審議会 情報経済分科会 人材育成ワーキンググループでは、次世代高度IT人材育成に関する報告書で次の点を強調した。情報セキュリティの専門的なエンジニアを育てるだけではなく、情報システムに関わるそれぞれのエンジニアがセキュリティの要素を備えなければならないという点である。だが、職員のみならず、行政機関をサポートすべきITベンダーにもセキュリティに精通した人材が少ない。既存IT技術者の再教育が急務だ。
7~8年前に作ったままの自治体のセキュリティポリシーもIT利活用における急速な変化を踏まえて見直す必要がある。気を付けたいのは具体的な作業レベルに落とすことだ。クレジットカード会社の安全管理体制を認証するPCIDSSが参考になる。「システムのパスワードは90日以内に一度変更する」「ペネトレーションテストは年一回行う」と明快だ。ただ一方で、不正侵入などの攻撃手法はガイドラインやルールの想定を超えた事態で多様化している。モバイルなど新技術に追い付いていないガイドラインも多い。改訂を待たずに各組織が主体的に対応していく姿勢が求められる。
行政機関における情報セキュリティ対応能力を高めるためには、首長などのリーダー層がまずは情報セキュリティ対策の重要性を認識し、超上流からのシステム開発を行い、日々の運用監視業務を丁寧に行う必要がある。セキュリティ対策は一種の保険だ。インシデントの想定被害総額を割り出せば対策費用が見えてくる。佐賀県のようにセキュリティの重要性を理解する決断力に富んだトップと、それをサポートする見識を備えたCIO補佐官がいれば良い方向に刷新できる。

既存のIT技術者の再教育が急務だ

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">