Enterprise Watch
最新ニュース

経産省山崎氏「ITセキュリティは社会の基盤として必要不可欠なもの」

~事故前提社会における企業のBCMセミナー

 BCIジャパンアライアンスと三井住友海上火災保険株式会社により3月9日に開催された、BCMセミナー「事故前提社会における企業のBCM(事業継続管理)~日本型BCMを提言する~」において、経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 山崎 琢矢 氏が、「事故前提社会とBCM~情報セキュリティの視点から~」をテーマに講演を行った。

 同省では2003年10月に「情報セキュリティ総合戦略」を策定している。これは「情報セキュリティ分野での国家戦略を“高信頼性社会”“事故前提社会”の構築に定めた」ものとなっている。講演では、まずこの策定にあたった同氏の考えが述べられた。


Blasterワームの例が事故前提の対策を求める

経済産業省 商務情報政策局 情報セキュリティ政策室 課長補佐 山崎 琢矢 氏
 なぜ事故前提社会なのか。同氏によれば「Blasterワームからの教訓を基軸にしている」という。2003年8月12日に発生し、同省へも「14~18日にかけて1,200件の問い合わせがあり、“全日本ヘルプデスク状態 ”だった」という。

 個人ユーザーの被害が多く報道されたが、当然企業での感染も多数存在していた。同省がIPAに委託したアンケートによれば、「企業全体の18.6%が感染していた」という。さらに「予想と違い、100人以上の企業では23.4%と感染が多かった」とのことだ。また感染経路は持ち込みPCからが1/4を占める点にも注目した。

 また感染発見から復旧までには、半分以上の企業で1日以上を要しており、クライアントのWindows Update実施方法は「大企業ほどユーザー任せになっている」現状が明らかになったという。

 同レベルの被害を引き起こしかねないWindowsの脆弱性が、Blasterワーム発生以降5つ存在する。同氏はSQL Slammerの発生当時の状況を「エクスプロイトコード出現まで2カ月、実際のウイルス発生まで6カ月だった」と述べ、Blasterではコード出現までが16日間に、その後の脆弱性については最短で1日に縮まっている急激な変化について同氏は、「これでは100%の人が防ぐことは不可能だ。だからこそ事故を前提にした対応が必要になる」と述べた。

 またセキュリティインシデント全体についても、「外からの不正侵入が原因となるものは少なく、8割は内部に起因している」とした。

 “事故前提”との言葉に一部で批判もあるとした同氏は、「起こっていいものではなく、当然予防はするが、それでも起こるもの。これに基づいた行動原理を準備する必要がある」と語った。そして「官民連携をキーワードに国家レベルの対応基盤を構築していく」とした。


規模の大きい企業ほど感染率が高い結果に Windows Updateの実施も大企業ほどユーザー任せだ セキュリティインシデントの8割は内部に起因している

社会の神経系としての基盤と呼べるITインフラ

 同氏は、「アメリカでは、情報セキュリティ国家戦略の理由付けとして、サイバーテロから国を守るとの大命題がある」とした同氏は、「日本では、高信頼性社会の基盤になるもととして、安全保障の観点からITセキュリティを構築していく」とした。そして「ITは社会の神経系として、すでに社会基盤と呼べるほどの存在になっている」とした。この意味でも情報セキュリティの重みは増している。

 同省では、情報セキュリティ総合戦略に基づき、脆弱性の低減を目的に分析センターを独自に立ち上げた。政府での取り組みとしては、「4月までには内閣に情報セキュリティ担当首相補佐官が配置される」ほか、「電力業界に絞り、IT事故発生を想定したサイバー演習を実施する」とのこと。

 さらに「国・自治体を対象にはするが、すべての人に利用してもらえるようなサービス継続復旧計画ガイドラインを整備する」という。そして「ビジネスコンティニュティでのリスクを、950項目のリストにより客観的に計測できる指標として」ベンチマークも策定、こうした方策により、インシデント発生時の被害極限化、高回復力を目指して、資源配分を強化していく。

 さらに同氏は、「パブリックインフラとして、IT事故のデータベースを提供したい」との考えを述べた。対象としては、「個人情報漏えい事故、航空管制の停止、銀行のシステム障害などが考えられる」という。そして「これをベンチマークと結び付けられれば望ましい」との見解を示した。



URL
  事故前提社会における企業のBCMセミナー
  http://www.irric.co.jp/event/
  経済産業省
  http://www.meti.go.jp/
  経済産業省 情報セキュリティに関する政策、緊急情報
  http://www.meti.go.jp/policy/netsecurity/


( 岩崎 宰守 )
2004/03/10 21:06

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.