セキュリティ対策(経産省の情報セキュリティ総合戦略)


経産省は10日に産構審・情報セキュリティ部会の答申を発表しました。8日付け日経が、金融などの重要インフラシステムに対する予防処置の義務化や障害時の事故調査委員会設置など、行政による監督・強制指導の方向性を打ち出す内容になると報道していた答申です。

http://www.meti.go.jp/policy/netsecurity/strategy.htm

日経の記事を読んだ時に感じたことは、社会全体の視点から情報セキュリティ対策を考えることは極めて重要であるが、一方で行政に強制力を持たせた施策を民間金融機関の義務とするのは危険だということでした。

役所の長文報告書を短時間で読む為のコツを、大蔵省の人から教わったことがあります。2、3のキーワードだけに注目して斜め読みするのだそうです。全体の論旨に拘る必要はありません。むしろ、報告書の意図に巻き込まれるので、始めはストーリーを知らない方が良いようです。

今回の答申では、金融業界が関連する用語、そして金融や交通、電力などを包含した「重要システム」がキーワードとなります。

答申では、事前予防、事故対応、基盤整備を三大柱とした施策が列挙されています。重要システムを保有管理する組織に要求される対応は次のようなことです。

◇    情報セキュリティ監査の実施

◇    サイバーテロ対応のセキュリティ技術の開発協力

◇    トラブルに関する情報共有と政府調査委員会への協力

◇    サイバーテロ演習訓練への参加

◇    情報システム・セキュリティ状況の情報提供

◇    BCPの整備

などです。つまり国が行なう国家的セキュリティ対策に関して、重要インフラの一部を担う者として協力をして欲しいということです。日経記事のような強制的な施策になる表現はありません。ただ、内閣のセキュリティ対応機能の強化を提言しつつ、それを経済産業省が全面的にバックアップしますよ・・・・・ということなのでしょう。内閣主導であれば、金融庁は否と言えませんが。

これだけ大上段に国家的プロジェクトとして打ち上げる割には、委員会のメンバーが偏っています。学者・マスコミなどの学識経験者の他はIT産業の人たちばかりです。下部組織の研究会メンバーも同様で、金融からは東京海上が1人です。それもセキュリティ・リスク対応保険の観点からの参画と思われます。

事務局と経済産業省は、出来るだけ省益案件というニュアンスを薄め、国家的案件にする為に内閣官房、内閣府、警察庁、防衛庁、総務省をオブザーバーとして加えています。金融庁や国土交通省は参画していません。あるオブザーバーから、二度ほど銀行システムに関するヒアリングを受けました。何故、銀行に直接聞かないとかと問いましたら、何行もヒアリングに行ったが、まともに教えてくれないのだ・・・という応えでした。何故、金融庁、日銀、FISC、協会のどれかが入らないのかとも聞きました。一応、招聘をしてみたのだが・・・という応えです。

20年以上もの間、省をまたがるIT案件に金融関連は参加しないことが多いのです。理由はいろいろあるのでしょうが、もう少し積極的な参加姿勢を示さないと、様々な標準化や制度対応に金融だけが置いていかれることになります。または、非協力的だというレッテルを貼られることになります。実際は既に貼られているのですが。金融システムに対するサイバーテロの可能性などを考えれば、個別金融機関で対応できるようなマターではありません。