現在地 HOME > 掲示板 > IT4 > 130.html ★阿修羅♪ |
|
エンタープライズ:ニュース 2003/10/11 18:22:00 更新
「事故は起こりうる」ことを前提に経済産業省が「情報セキュリティ総合戦略」を策定【zdnet 記事】
http://www.zdnet.co.jp/enterprise/0310/11/epn07.html
経済産業省は10月10日、産業構造審議会情報セキュリティ部会の答申に基
づいて「情報セキュリティ総合戦略」を策定。Web上で公開した。
経済産業省は10月10日、産業構造審議会情報セキュリティ部会の答申に
基づく「情報セキュリティ総合戦略」を策定、公開した。
この戦略は、重要インフラを狙った不正侵入や人為的ミスが発端となっ
たシステムダウン、あるいは8月のMSBlast(Blaster)に代表されるウイ
ルス・ワームのまん延といったインシデントが多発していることを背景に
まとめられたもの。同省のみならず、内閣官房や内閣府、警察庁、防衛庁、
総務省など、関係省庁の参加も得て策定された、初の総合的な情報セキュ
リティ戦略になる。
同省ではプレスリリースの中で、情報セキュリティ対策については、
「国や自治体の取り組みは遅れている上、企業や個人の多くは対症療法的
対応しか行っていないという状況」と指摘。これに対し今回の総合戦略で
は、「世界最高水準の『高信頼性社会』の構築」を目指して、日本の重要
な国家戦略の中に情報セキュリティ問題を組み込み、対策に取り組んでい
くという。
この戦略は目標達成に向けて、「しなやかな『事故前提社会システム』
の構築」「『高信頼性』を強みとするための公的対応の強化」「内閣機能
強化による統一的推進」という3つの基本戦略と、より具体的な42個の施
策項目から構成されている。内容は同省Webサイトで公開されており、誰
でも閲覧が可能だ。
具体的な取り組みがまだこれからである以上、評価を下すにはまだ早い
が、少なくとも戦略1として挙げられている「しなやかな『事故前提社会
システム』の構築」は、「情報セキュリティに絶対はなく、事故は起こり
うるものである」という前提に立った点で評価できそうだ。ここでは、対
症療法的な対策だけで終わるのではなく、インシデントの予防と、それが
発生した際の被害の最小化・局限化(拡大防止)、回復力の確保に取り組
むという。
具体的には、脆弱性(セキュリティホール)情報の集積のためのルール
を構築するとともに、これら脆弱性やウイルス、ワームの危険性を検証・
解析する体制を整備するという。ただ、IPA/ISEC(情報処理振興事業協会
セキュリティセンター)やJPCERT/CC、Telecom-ISAC、あるいは@Police
(警察庁)といった既存の組織の取り組みとどのように連携にしていくか
には触れられていない。
他には、危険なウイルスやワームの発生についての注意喚起・警戒情報
の提供やサイバーテロ演習の実施、情報セキュリティをめぐるリスクに対
する定量的評価手法の開発・公開などが挙げられている。またリスクの定
量的評価を目的に、公的機関による情報セキュリティの事故データの継続
的な収集も行われるという。
2つめの「『高信頼性』を強みとするための公的対応の強化」は、企業
やユーザー個々では取り組めないような公的な問題に対し、政府が積極的
に取り組むというものだ。例えば、OSなどのITシステムの基盤が多様性を
保ち、ユーザーが選択肢を持てるよう代替案を検討するという。また、イ
ンシデントの原因の1つであるセキュリティホールをできる限り減らすよ
う、セキュアプログラミング手法の確立と実用化に取り組む。
さらに最後の「内閣機能強化による統一的推進」では、各省庁や地方自
治体個々のセキュリティ対策を強化するだけでなく、内閣官房情報セキュ
リティ対策推進室が中心となって、一元的にセキュリティ対策を進められ
るようにする。これに関連して、各省庁に対するセキュリティ監査や侵入
テストといった検査の実施も、項目の中に挙げられている。
関連リンク
経済産業省
[ZDNet/JAPAN]