第９３号コラム「少々お疲れ気味の情報セキュリティ～誰のための情報セキュリティなのか」

第９３号コラム：　熊平　美香 監事　（（財）クマヒラセキュリティ財団　専務理事）題：「少々お疲れ気味の情報セキュリティ～誰のための情報セキュリティなのか」

昨年１０月に、情報セキュリティセミナーを広島にて開催しました。テーマは、「少々お疲れ気味の情報セキュリティ～誰のための情報セキュリティなのか」です。ご講演者には、経済産業省　商務情報政策局　情報セキュリティ政策室長の山田安秀様、日本ネットワークセキュリティ協会（JNSA）理事･事務局長の下村正洋様、NTTコミュニケーションズ　金融イノベーションシステム部　魚脇雅晴様、そしてパネルには、日本ネットワークセキュリティ協会（JNSA）西日本支部長　井上陽一様と、山口ケーブルビジョン㈱通信事業部長の村田信弘様をお招きし、約１００名の参加者と一緒に、２００９年の情報セキュリティの実状を理解した上で、「等身大の情報セキュリティ対策をいかに進めるべきか」について学ぶ場を企画しました。

（財）クマヒラセキュリティ財団では、２００１年より７年間に渡りサイバーセキュリティマネジメント実践研究会を実施してきました。情報セキュリティの啓発活動として行ってきた同研究会では、総勢４０名のご講演者をお招きし、中国地区の企業や団体の皆さまと一緒に、進化する情報セキュリティへの取り組みへの理解と学びを蓄積してきました。情報セキュリティは、啓発活動の時代から実践活動による定着の時代に移行したという判断から、昨年より、年に１度のセミナーの開催を行うことにいたしました。企画には、研究会幹事の有志が集まり、２００９年度のテーマは、「少々お疲れ気味の情報セキュリティ～誰のための情報セキュリティなのか」にしようということになりました。

今日の情報セキュリティの取り組みは、ISMSやPマークによる認証制度の導入、個人情報保護法への対応、内部統制への取り組みなど、広範囲に亘ります。しかし、今日においても、「どこまで対策をすれば十分なのか？」という問いかけについて、明確な答えは出ていません。また、情報セキュリティ対策は、利用者にとって、情報通信技術の利便性、効率性を活かす上で制約や障害となる場合が多いことも事実です。経営者、情報セキュリティ推進者、情報通信技術の利用者、ベンダー、コンサルタントそれぞれの立場で、情報セキュリティに取り組んできた企業および団体は、「少々お疲れ気味」であるという幹事の現状認識からつけたこのネーミングは、多くの参加者の共感を呼びました。

山田安秀情報セキュリティ政策室長からは、「第２次情報セキュリティ基本計画」のお話を頂戴しました。情報セキュリティガバナンスの確立を経営の一環として認識し推進することが重要であるというお話には、我々研究会が、スタートした当初から課題として取り上げていた事項が盛り込まれており、「少々お疲れ気味」の情報セキュリティの世界が、大きく前進していることを知りました。中でも、我々の興味関心を引いたのは、アウトソーシングに関する情報セキュリティ対策ガイダンス構築のお話でした。

JNSA　下村正洋事務局長のご報告では、情報セキュリティ対策のすそ野の広がりを実感しました。２００８年の情報漏えい件数は、前年に比べ大幅に増加していますが、１０００人以上の漏えい事件はほぼ横ばいとのこと。増加しているのは、１０００人未満の漏えい件数。これまで把握できていなかった情報漏えいインシデントが明らかになることは、よい傾向です。パネルディスカッションでは、JNSA西日本支部長　井上陽一氏、山口ケーブルビジョン㈱通信事業部長　村田信弘氏より、地方および中小企業においての情報セキュリティへの取組みにおける課題を提示していただきました。地方や中小企業においても、情報セキュリティインシデントの可視化や、対策への取組みをする組織が増えていることは大きな前進です。

㈱NTTコミュニケーションズの魚脇雅晴氏は、現在、サプライチェーンによる情報セキュリティ管理体制構築のための仕組み作りに従事されていらっしゃいます。お客様から見たサプライチェーンとして、情報セキュリティ管理を行うために、委託元、委託先、再委託先も含めて情報セキュリティ管理に関する共通フレームが構築されることは、画期的なことです。守るべき要件を明確にし、リスクの大きさにより詳細管理策を設定し、委託先の環境に合わせて実行していく仕組み作りが着実に進んでいる事を知り、セミナー参加者の多くはとても元気づけられました。このテーマは、研究会をスタートした２００１年から、研究会参加者共通の大きな課題でした。それはお客様とベンダー、そして、発注元と委託先の関係において、どこまでの責任を誰が取るのか、そのためにどこまでの要求事項を提示し、管理を徹底できるのか、という問いに対する明確な答えがないという課題認識でした。委託先には、さまざまなレベルがあり、コストの負担感も異なります。この課題に１０年目にして、ついに答えがでるというお話には、参加者全員感激しました。情報セキュリティの世界に組織の枠を超えた協力体制が構築され、コストシェアの考え方も進めば、情報セキュリティは、より現実的なものとして、無理なく社会システムの一部になるでしょう。着実に、新しい段階へと進化している情報セキュリティの世界で、今年は、何をテーマにセミナーを開催するかを思案しているところです。

【著作権は、熊平氏に属します。】