金融高度化セミナー「金融機関における情報セキュリティの高度化に向けて」における山口内閣官房情報セキュリティセンター情報セキュリティ補佐官講演要旨

2006年 2月 1日
日本銀行金融機構局

講演に使用した資料は、PDF形式でご利用頂けます。ダウンロードはこちら（fsc0601b.pdf 4,447KB）。

目次

• １．情報セキュリティ対策のあり方
• ２．政府の取組み
• ３．重要インフラ防護と情報セキュリティ管理
• ４．最後に

１．情報セキュリティ対策のあり方

　情報セキュリティ対策を考えるうえでは、最初に、今日、行われている業務の殆どがコンピュータとネットワークに依存しているということを真摯に認識しなければならない。金融機関はいうまでもないが、その他あらゆる業界においてコンピュータが必要不可欠になっている。例えば、物流でも、「情報物流」という言葉があるように、コンピュータなしでは殆ど何も業務ができなくなっている。

　こうした事実を踏まえれば、なぜ情報セキュリティ管理が必要かは自明である。コンピュータの機能不全が、自分達の業務に直接大きな影響を与えるからである。情報セキュリティ管理がなぜ必要かではなく、必要なのは当たり前で、それをいかに業務の中に組み込んでいくかを考えていかなければならない。

　現在、我々は情報セキュリティ対策を考えるうえで4つの困難に直面している。

　第一に、情報システムが現場の業務にますます組み入れられ、それを扱う人間との間で不協和音が多く発生している。そうした状況で、システムが停止したときに、人間によるビジネス・コンティニュイティをいかに確保するかが難しくなっている。

　第二に、雇用環境の変化に伴い、長期雇用の正規職員が長年に亘ってシステムを責任もって運営していくような時代ではなくなっている。システムの設計、運用の一部にパート、外注先、下請先が入り込むだけでなく、発注行為はするが実際のシステムの構築・運用は全て委託先が行うというケースもみられている。こうした状況において、システムを使って不正やミスをする人はいないだろうという前提が崩れてきているといえる。

　第三に、「高度IT人材」、すなわち、IT技術だけでなく、経営、コンプライアンス、ヒューマン・リソース・マネジメントに関する視野や判断力を持った人材をなかなか生み出せていない。このような人材を育てていかないと、情報システムを守っていけなくなる懸念がある。

　第四に、情報システムを巡る攻撃手法が多様化、巧妙化していることにより、企業等の情報システムが悪用され、損害を蒙るリスクが高まっている。

　このような困難な状況において、いかに「経営」、「人」、「システム」を調和させ、最大の力を引き出していくかが非常に重要である。

　このような観点から、各主体の情報セキュリティ対策の推進状況をみていくと、残念ながら、情報システムの適切な構築・運営を経営のコアとして捉えている先はまだまだ少ないのが実情である。ビジネスを支えているITプラットフォームがある場合でも、経営がきちっとした指示を与えていないとか、現場において部署間のコミュニケーションが欠けているといった状況が多くみられる。

　情報セキュリティ対策というと、何か硬いものを思い浮かべるが、強調したいのは、情報セキュリティ対策は特別なものではなく、今までの経営の延長線上にあるということ。経営者は、経営資源を何に割くか、組織内部でのセルフチェック体制をどのように構築するかを考えるのと同様に、情報セキュリティ対策を考えるべきである。また、業務の現場を担う人々は、情報セキュリティ対策を、製品の品質改善や業務改善活動など一般的な「改善活動」と同様に捉え、取り組むべきである。

　そして、実際に情報セキュリティ対策を考えるアプローチとしては、PDCAサイクル（計画＜Plan＞、実施＜Do＞、検証＜Check＞、問題点除去等＜Act＞）に沿って、教条主義的にならない弾力的な対応が必要だと考えている。情報セキュリティの取組みに関する政府の考え方も、この点を踏まえたものとなっている。政府における情報セキュリティ対策は、内閣官房情報セキュリティセンター（NISC＜National Information Security Center＞）が中心となって立案していくが、その際、現場に対して計画を教条的に指示するのではなく、時代に適応しているかを絶えず検証していくことを強く意識し、対応していける体制を組んでいる。

２．政府の取組み

　2004年に、私が内閣府の情報セキュリティ補佐官に着任した際、政府の情報セキュリティ対策は完全な過小投資の状況であった。当時、政府の情報セキュリティ対策の企画を担っていた情報セキュリティ対策推進室はたった8人で、ここ数年のＩＴの急激な進展・発展を考えれば、2000年、2001年といういわば「石器時代」に決めた計画に基づき仕事していた。ITの基盤化が進む中で、政府のトップマネジメントとしては、内閣と連動して政策を決め、それを実施していく体制をつくることが喫緊の課題であった。

　そうした中で、私は、内閣において情報セキュリティ政策の中核機能をつくることに注力してきたが、その結果できたのが情報セキュリティ政策会議と内閣官房情報セキュリティセンター（NISC）の2つである。

　情報セキュリティ政策会議は、IT戦略本部の下に位置付けられる会議で、官房長官がヘッドである。関係閣僚と有識者6名で構成、約3ヶ月に1度開催し、政策の実施、評価、方向性の確認を行っている。

　また、同会議の実施母体としてNISCを設置した。NISCは官民連合体制で構成され、現在50人のスタッフを抱えている（2006年度は60人になる予定）。さらに、重要インフラ所管官庁と情報セキュリティ関係省庁には、我々と協働で動く人達もおり、それを含めて政府全体としては100人程度で情報セキュリティの政策立案実施を直接担っていることになる。

　NISCは、(1)情報セキュリティに関する基本戦略の策定、(2)政府の情報セキュリティ対策について民間並みの対応を行うための総合対策の推進、(3)政府機関において特別な事案が発生したときの対処・支援、(4)重要インフラ事業者の情報セキュリティ対策実施、という4つの役割を持っている。

　政府は、これまで、「第一次情報セキュリティ基本計画」、「政府機関の情報セキュリティ対策のための統一基準」、「重要インフラ分野の情報セキュリティ対策に係る行動計画」、「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定のための指針」の4つのドキュメントを決定、またはパブリックコメントに付している。このうち、「基本計画」は、パブリックコメントを本日（1月13日）締切り、1月中に政府決定する予定である。また、「統一基準」、「行動計画」は12月に政府決定済み。「『安全基準等』策定のための指針」は、本日（1月13日）パブリックコメントを締切り、これを受けて事業分野毎に安全基準の策定、見直しを実施してもらう。

　このうち、「基本計画」は、今後3年間の政府の基本施策を決める設計図の役割を果たす。「基本計画」が強調しているのは、官と民がそれぞれの役割を果たしていくという官民協働の取組みの重要性である。このため、政府、重要インフラ、企業、個人の4つの推進分野を設けている。

　まず、「政府」については、情報セキュリティ対策のベストプラクティスを活かし民間なみの水準にレベルアップすることを掲げている。次に、「重要インフラ」については、サービスの安定供給を促し、システムの障害によって安定供給が損なわれることがないようしていくことを掲げている。さらに、「企業」については、情報セキュリティ対策をしっかり行うことがインセンティブにつながるようなメカニズムを作ることを掲げている（例えば政府調達の中で、企業のセキュリティ対策の状況に応じて条件付けをするなど）。また、取り組みの評価の枠組みとして、情報セキュリティ監査制度を検討しており、第三者評価を活用していくことを考えている。最後に、「個人」については、教育、啓発活動を重視するとともに、知識のない普通のユーザーが使っても大きなリスクを負わないようなソフトウェア、ハードウェアの導入を促進していく。

　また、「基本計画」では、情報セキュリティ強化のための環境整備を重視している。例えば、技術面では、総合科学技術会議（総理大臣が議長）との連携の中で情報セキュリティ技術の開発を行っていく。人材の育成・確保の面では、中学、高校からITの授業を取り入れ、企業でもOJTでIT教育を強化するなど具体的な対策を考えていく。これ以外にも、犯罪対策、企業・個人の権利・利益の保護といった面での具体的施策など、様々な面からの施策を立体的に組み合わせている。

　今後、政府は「基本計画」に基づいた政策を実施するフェーズに入る。まずは、省庁間で、「抜け」と「ばらつき」をなくすように改善を図る。「ばらつき」がある程度均されれば、次に、新しいセキュリティ技術をどのように導入していくかにも踏み込んでいく。政府は、今後、コンピュータシステムとして、オープンでコストが安く、信頼性が高い技術をもったものを採用していく方針である。これを情報セキュリティの面から参照する基準として、上述の「統一基準」を位置付け、総務省行政管理局と協働して施策を推進していく方針である。

　また、「重要インフラ行動計画」については、4つの新しい柱を設けている。

　第一の柱は、安全基準にIT要因を勘案していくことである。情報通信や金融では、情報通信システムが業務のコアを占めているので、これは当たり前の事実かもしれないが、そうでない業種もある。例えば、水道業界についていえば、水道による水資源供給は、コンピュータを使って制御されているが、業界の人達はそれを装置として認識していても、コンピュータを使っているとは意識していないことも多い。またこれは水道業界に限った話ではなく、装置として認知しても、それがコンピュータで成り立っているということを意識したルール作りやトラブル発生時の対応体制ができていないこともある。これでは問題があるので、本年9月を目途に各分野において安全基準の実施状況を作って頂き、内閣官房がそれをチェックしていく予定である。

　第二の柱は、各業界の中の情報共有体制（アメリカのISACのようなもの）を2006年度末までに立ち上げること。業界の負担にもなるので、政府も積極的に支援していきたい。

　第三の柱は、重要インフラ間の相互依存性解析を行い、政策に反映していくこと。例えば、電力が停止すれば情報通信ができず、情報通信が停止すれば、金融機能に大きな影響が出るというように、重要インフラは相互に高い依存性を持つ。しかし、情報セキュリティ対策において相互依存性は十分には勘案されていないため、その点を解析し、政策に反映していく。

　第四の柱は、分野横断的な演習を実施すること。IT要因で大きなトラブルが発生したときに情報集約、連絡体制がきちんと機能するのかを検証する必要があるが、その際、電力、金融、通信といった分野を横断して、それができるかをチェックする必要がある。

　「重要インフラ行動計画」策定においては、政府が重要インフラ事業者を一方的に指導するのではなく、メインプレーヤーである事業者がトラブルに対して機敏に活動し、大きな影響を国民に与えないために政府として何ができるのかを徹底的に検証したつもりである。「行動計画」の実施のために、事業者の方々には、追加的な負担をお願いしなければならない部分はあるだろうが、政府もその中で汗をかいていくつもりである。政府としては、様々な場面で意見を伺うことになろうが、是非積極的に意見を頂ければと思う。

３．重要インフラ防護と情報セキュリティ管理

　最後に、重要インフラ防護（CIP＜Critical Infrastructure Protection＞またはCIIP＜Critical Information Infrastructure Protection＞と呼ばれる）について説明する。重要インフラ防護に関する方針は、昨年10月に正式に政府で決定をし、今後金融機関も含めた事業者の方々と協働で推進していくものである。

　政府は、2002年のみずほ銀行のシステム統合時のトラブルに対して、対策が後追いになり、トラブルが大きくなってから大騒ぎしたという苦い経験を持つ。今考えれば、こういった大規模なトラブルに対しては、何も銀行1社が自分だけで汗をかくべきではなく、政府も、国民生活に直接影響する事柄として役割を果たすべきであった。こうした観点から政府として重要インフラ防護を検討してきた。

　これまでの政府の取組みでは、重要インフラに関してはサイバーテロばかり想定していたが、これは大きな間違いであった。自然災害などの非意図的障害や人為的ミス（オペミス、設計ミス）などがある中で、サイバーテロだけみてきたのは政府の政策の構造的欠陥といえる。防災を考えるうえでは、中央防災会議という場がある。技術面に関しては金融庁が幾つか基準をつくっており、FISCも取り組んでいる。単に政府の情報セキュリティセンターだけでは駄目で、様々な組織と協働して作っていく必要がある。2000年、2001年の頃に、こうした多方面の事情を勘案しようと検討したが、かなり難しいとの判断から中身を中々作れなかったのが実情である。

　今回の「行動計画」は、その反省に立ち、全体の連携機能も含めて策定したのがポイントである。重要インフラ対策として、災害要因、非人為的ミス要因、非意図的要因などを幅広い要因をみている。政策実施に向けて、中央防災会議とは既に具体的協議を始めており、ＩＴ障害が必要との観点から作っていこうと思っている。重要インフラ防護には様々な考え方があるが、広い意味での事業を守るという考え方に基づき、災害対策、テロ対策を立案していこうとしている。

　以下では、情報セキュリティ対策を立案・実施するに当り、問題の本質を5点述べる。

　第一は、事業者の情報開示問題。事業者には法令に基づき求められていること以外は開示義務がない。情報が開示されていないということは、他の事業者が失敗を勉強するチャンスが殆どないということである。企業秘密の保持と業界の基礎体力向上の間の矛盾をいかに解決するかを考えていかねばならない。英国では、NISCC（National Infrastructure Security Coordination Centre）がインベントリー作成をうまくやれているという成功事例があるが、わが国では、重要インフラ事業者と政府の間の距離が遠く、連携がうまくいっていない。

　第二は、行政でやれることの限界。重要インフラ防護は、行政が何でもできるものではない。重要インフラ事業の自由化が進む中で、政府が企業に過度なセキュリティ要件を課すことは自由化に逆行しかねない。そこで政府としては、ある一定のセキュリティ水準の達成のみを求め、達成の仕方は事業者に任せるという「自主保安」の考え方がある。自主保安に基づけば、責任は民間に移転される筈であるが、これと各分野の所管法の考え方には差がある。特に、護送船団方式の業界ではこの差が大きいいため、この差を埋めていくことが重要である。また、自主保安の考え方に基づけば、民間が行政任せというのはだめで、一緒に考えていくことが重要である。金融業会におけるFISCの活動は、官民協働の一つの典型例といえるが、他の業界では余り進んでいない。

　第三は、重要インフラ間の相互依存性。重要インフラは各分野間に相互依存性があることを念頭に置く必要がある。特に、物流・金融・電力・通信は、問題が発生した際の他分野への影響が大きいため、きちっとしたBCPが重要だと思う。

　第四は、人材の確保。重要インフラが抱えるリスクについては、専門家しかリスクが分からない状況がでてきている。こうした中で人材の確保をどうするかを考える必要がある。

　第五は、分野間の知見共有問題。いまや各分野で使われている情報通信などの技術は実は似てきており、知見の共有を進めていった方がお得という状況になっている。それぞれの分野で使われる言語が違う中で、コミュニケーションをどうとるかということを考えていくべき。

４．最後に

　政府としては、情報セキュリティ対策に本気で取り組んでいくことを強調したい。この際、「官民の連携」がキーワードであり、民間の皆様の協力なくして政策は実施され得ない。NISCのポータルサイト（http://www.nisc.go.jp/（外部サイトへのリンク））にアクセスして頂ければ、政府の考え方が分かって頂けると思うので、皆さんのアイディア、意見等のインプットを積極的に頂きたいと思う。また、政府から相談することもあると思うが、政府を怖がらず、嫌がらず、煙たがらずに、前向きな対応をお願いしたい。

以上