メルマガ購読
情報処理推進機構(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)主催による「重要インフラ情報セキュリティフォーラム2010」が、1月25日に開催された。電力、水道、ガス、交通といったいわゆる「重要インフラ」と呼ばれる社会基盤については、テロ・災害対策という側面と、IT化の推進による情報セキュリティの強化、および情報セキュリティ インシデントに対する対策強化という側面から、その重要性が叫ばれている。
このフォーラムは、産学官からの専門家により、重要インフラセキュリティに関する講演、パネルディスカッションなどがプログラムされており、その特別講演では、内閣官房情報セキュリティセンター(NISC)の参事官 丹代武氏による重要インフラに対する情報セキュリティ政策についての取組みの発表が行われた。
丹代氏は、政府の情報セキュリティに対する取組みは、2000年1月に発生した省庁HPの連続改ざんの問題を契機に本格的な組織体制づくりや政策が始まったとし、政府は2004年までは主にガイドラインやポリシーの整理、政策のまとめなどを行い、同年情報セキュリティ補佐官を設置した、と述べた。その後、2005年にNISCが設置され、官民による情報セキュリティ政策会議が組織された。
重要インフラについては、情報セキュリティ政策会議の中の専門委員会のひとつとして議論されており、情報通信・放送、金融、航空、鉄道、電力、ガス、行政サービス、医療、水道、物流といった分野ごとに、ITインシデントが社会・経済活動に及ぼす影響について研究・政策提言などが行われているとした。この活動は、重要インフラに関する2000年の「サイバーテロ特別行動計画」に始まり、「重要インフラの情報セキュリティ対策に係る行動計画」を経て、2009年の「第2次重要インフラ行動計画」まで進んでいる。
丹代氏によれば、第2次行動計画では、事故前提社会という認識に立ち、各分野ごとの合理的なサービスレベルを定め、そのサービス維持のための予防対策、障害時の復旧、事後対策などを具体的に定めるとしている。これは、重要インフラといえども、事故の発生確率はゼロにできないという現実的な視点をもち、リスクに対してどの程度の対策を行うかをレベル分けして考えるというものだ。そして、このとき重要となる点は 、維持するサービスレベルに対して、継続的な改善プロセスを導入しておくことであるとの認識を示した。
続いて、この行動計画を推進するにあたって、情報セキュリティ対策には、1)安全基準等の整備及び浸透、2)情報共有体制の強化、3)共通脅威分析、4)分野横断的演習、5)環境変化への対応、の5つがあると述べた 。これらは、第1次行動計画からの内容を改善、発展させたものだが、5つめの「環境変化への対応」は、第2次行動計画より追加されたものである。通常のPDCAサイクルだけでなく、高速化するIT動向の変化、リスク・脅威の変化に機敏に対応するため、情報収集活動、広報活動、分野ごとの情報やナレッジの共有と有効活用などを推進する必要があるとの認識によるものだ。
すでに、情報セキュリティに影響を与える可能性のある事象として、クラウドコンピューティング、テレワーキング、制御系システムのオープン化、暗号の危殆化(解読方法の発見等の理由で暗号の安全性が確保できなくなること)の可能性、IPv6の導入、グリーンIT・スマートグリッド、国際会計基準(IFRS)などが関係者のヒアリングにより明らかになっているという。
重要インフラについては、これまで独自の技術やノウハウと閉じた系によって、セキュリティや信頼性を確保してきた。また、社会基盤という性質上、変化よりも安定、信頼性を優先させてきた傾向もあったが、近年、IT技術の変化や社会情勢の変動が益々予想しづらくなり、柔軟・迅速かつオープンな対応が迫られている。
何が起きても不思議ではない現代において、ほぼ100%の稼働率が要求される重要インフラといえど、事故ゼロではなく、事故前提のリスクマネジメントを導入しなければならなくなっている。「安全神話」は内部的な要因以上に、世界情勢を含む外部環境の変化からも見直す必要があるといえそうだ。
重要インフラも環境変化に則した柔軟な対応が求められる時代に——内閣官房情報セキュリティセンター
2010年2月15日(月) 21時46分
会場入り口
セミナー会場
内閣官房情報セキュリティセンター(NISC)参事官 丹代武氏
政府の情報セキュリティ対策の歩み
内閣官房情報セキュリティセンター(NISC)の役割
NISCの組織図
IT資産に対する脅威の分析
情報セキュリティ対策の5つの柱
ITセキュリティに影響する環境変化の要因
《中尾真二》
注目ニュース
情報処理推進機構(IPA)は3日、2010年1月のコンピュータウイルス・不正アクセスの届出状況をまとめた文書を公開した。
情報処理推進機構(IPA)は6日、2009年年間のコンピュータウイルスの届出状況をまとめた文書を公開した。
クリスマス、大晦日、そして正月とイベントが続く年末年始。こういった時期にはウイルスや不正アクセスの活動も活発になる。そして、GENOウイルスの流行以降、Webサイトを改ざんされる事例が継続的に発生し...
情報処理推進機構(IPA)は3日、ワンクリック不正請求に関する相談が増えていることから注意喚起を呼びかけた。
![偽セキュリティ対策ソフトの脅威が再拡大 〜 10月のウイルス・不正アクセス状況[IPA]](/imgs/list/87555.jpg)
情報処理推進機構(IPA)は5日、2009年10月のコンピュータウイルス・不正アクセスの届出状況をまとめた文書を公開した。
情報処理推進機構(IPA)は28日、オープンソースソフトウェア(OSS)のヘルプメッセージなどを翻訳する際の、コミュニティによる協調作業を支援する「翻訳コミュニティー基盤ソフトウェア」を公開した。
IPAは23日、優れたオープンソースソフトウェアの開発および普及に貢献した個人などを表彰する「2009年度日本OSS貢献者賞」「2009年度日本OSS奨励賞」の受賞者を発表した。
IPAは11日、NRIセキュアテクノロジーズなど民間組織と共同で実施した、海外の情報セキュリティ関連文書の翻訳・研究の2009年度上期の成果および下期の予定をWebサイトにて公開した。
情報処理推進機構(IPA)は3日、2009年8月のコンピュータウイルス・不正アクセスの届出状況をまとめた文書を公開した。
情報処理推進機構(IPA)は17日、Webサーバのアクセスログ調査およびWebサイトの脆弱性検査、脆弱性対策の早急な実施を推奨する注意喚起を行った。
情報処理推進機構(IPA)は5日、2009年7月のコンピュータウイルス・不正アクセスの届出状況をまとめた文書を公開した。
IPA(情報処理推進機構)は3日、2009年上半期(1月〜6月)のコンピュータウイルス・不正アクセスの届出状況をとりまとめた文書を発表した。
