【中央大学 土居範久教授】“事故前提社会”の考え方のもと、企業は情報セキュリティガバナンスの確立を

中央大学教授 慶應義塾大学名誉教授 工学博士 土居範久氏

　以前、大学の研究員が、団体のサーバの脆弱性を公の場で指摘し、検挙された事件がありました。この事件の背景には、ソフトウェアの脆弱性を発見しても、それを開発元に連絡できる仕組みが整備されていなかったという問題がありました。

　そこで、経済産業省は2004年7月に「ソフトウエア等脆弱性関連情報取扱基準」を公示し、脆弱性に関連した情報の受付機関として独立行政法人の情報処理推進機構（IPA）、製品開発者への連絡および公表にかかわる調整機関として有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）が指定されました。

　これによって、ソフトウェアの脆弱性を発見した人・団体などは、安心して誰でもIPAに報告できるようになりました。報告を受けたIPAは、内容を精査し、必要と判断すればJPCERTに連絡します。そして、JPCERTから製品開発者へ連絡が入り、修正が行われるという仕組みが、現在、有効に機能しています。

　国の重要なインフラ、たとえば証券取引所のシステム、航空機などの管制システム、鉄道の自動改札システムなどに関しては、脆弱性をなくす取り組みを徹底することが重要です。ただし、脆弱性をゼロにすることは現実的ではありません。むしろ、事故を前提として、事故が発生したときに適切に対処できる「事故前提社会」を作っていくことが大切です。「 事故前提社会」は、今年2月に最終決定した第2次情報セキュリティ基本計画［注1］にも盛り込まれた考え方です。事前対策は当然として、仮に事故が発生しても、適切に対処できる「事故前提社会」を目指すべきとされています。


　現在のようにIT化が進展した社会では、企業がセキュリティ対策を実施することは、社会的な責任（CSR）と言えます。しかし、セキュリティに関しては、何をどこまでやれば十分なのか、明言できるものではありません。たとえば、塀を高くした結果、泥棒の被害に遭わなかったとします。しかし、塀を高くしたのが本当の理由なのかどうはわかりません。低いままでも被害はなかったかもしれないからです。

　そこで、セキュリティ対策の基準を作ることが重要になります。その1つがISMSによる認証制度です。ISMS（Information Security Management System）とは、情報セキュリティを確保・維持するための枠組みのことで、企業や組織がこの枠組みを保持しているかどうかを第三者が認定する制度です。

　もう1つは情報技術を用いた製品やシステムの開発・製造・運用に係る情報セキュ リティ確保に関する基準であるISO 15408（CC：Common Criteria）です。一般に「コモンクライテリア」または「CC」と呼ばれますが、もともとは米国防省が定めた TCSEC(Trusted Computer System Evaluation Criteria)、通称「オレンジブック」を起源とした規格で、電子政府の実現のために納入する機器やシステムは、この認証をとる必要があります。

　このように、機器やシステムの情報セキュリティはISO 15408、マネジメントはISMS（ISO 27000）でカバーするわけですが、この2つで十分かというと、必ずしもそうではありません。たとえば、ISMSでは3年に一回、更新審査が必要ですが、そのたびに100を超える項目についてチェックを行います。大企業ならいざしらず、中小企業にとってそれは大きな負担です。

　日本には高度な技術を持った中小企業がたくさんあります。たとえば、H2Aロケットの補助ブースターの先端部分は、「へら絞り」という技術を持つ町工場で加工されました。このように、高い技術力を持っている町工場はたくさんあるのですが、セキュリティ面での不安があると、仕事を発注する側も不安です。そこで、部分的にでも保証してくれるような仕組み、あるいはセキュリティ面での助言を行える仕組みが必要になってきます。それが「情報セキュリティ監査制度」です。

【次ページ】情報セキュリティ監査制度とは？

---

注1 第2次情報セキュリティ基本計画
2006年2月、内閣官房長官を議長とする情報セキュリティ政策会議において、2006年度から2008年度の3年間を対象とする第1次情報セキュリティ基本計画が決定された。これは、日本の情報セキュリティ対策の中長期的な戦略である。第2次情報セキュリティ基本計画は、それを引き継ぐもので、2008年2月に最終決定された。