English
National Information Security Center内閣官房情報セキュリティセンター

(首相官邸Webサイトの検索システムを利用しています)

HOME > 会議 > 情報セキュリティ基本問題委員会 > 情報セキュリティ基本問題委員会第1分科会 > 高度情報通信ネットワーク社会推進戦略本部情報セキュリティ専門調査会情報セキュリティ基本問題委員会第1分科会第1回会合議事要旨

会議


高度情報通信ネットワーク社会推進戦略本部情報セキュリティ専門調査会
情報セキュリティ基本問題委員会第1分科会
第1回会合
議事要旨

  1. 日時 平成16年8月6日(金) 16:30〜18:30

  2. 場所 内閣府K309会議室

  3. 出席者
    [委員]
    稲垣 隆一 委員(弁護士)
    大木 栄二郎 委員(IBM ビジネスコンサルティング株式会社チーフセキュリティオフィサー)
    土居 範久 委員(中央大学理工学部教授)
    夏井 高人 委員(弁護士/明治大学法学部教授)
    松尾 明 委員(中央青山監査法人代表社員)
    三輪 信雄 委員(株式会社ラック代表取締役社長)
                          (五十音順)

    [政府]
    内閣官房情報セキュリティ対策推進室長
    内閣官房情報セキュリティ対策推進室長
    内閣官房情報セキュリティ対策推進室情報セキュリティ補佐官
    内閣官房情報セキュリティ対策推進室内閣参事官
    警察庁情報技術解析課長
    防衛庁長官官房情報通信課情報保証室長
    総務省情報通信政策局情報通信政策課情報セキュリティ対策室長
    経済産業省情報処理振興課長

  4. 議事概要
    (1) 内閣官房情報セキュリティ対策推進室長挨拶

    (2)「第1分科会の設置」について
    ○ 事務局より説明

    (3)「会議の公表」の設置について
    ○ 事務局より説明

    (4)議題
    (A)第1分科会の活動方針について
    (B)「政府の政策・施策実施体制のあり方」および「有効性の高い政府自身の情報セキュリティ対策のあり方」についての具体案の検討
    ○ 事務局より事務局案を説明

    (5)出席者意見開陳
    国民から見ると、情報セキュリティについて、国は何をやっているのか分からない。国が有しているリソースも見えない、国がセキュリティにどれだけお金を使っているのか等、議論のベースとして提示されることが望ましい。

    国としての体制・責任がはっきりしていない。個人情報保護は保護法で国が最終的に責任を持つことになったものの、情報セキュリティについてはIT 基本法で一項目として書いてあるのみで、予算や内容に誰が責任を持つのかが明確でない。この部分については、明確に法定化すべき。

    国への要求仕様としては、「フェイルセーフ」が前提になるのではないか。破られないシステムを作るという発想よりも、破られても全部倒れない重層的なシステムを構築することのほうが重要。詳細仕様書については毎年書き換える構図にする。それを基礎として、組織、人、教育等をどうするか、を考えた方が良い。

    内部投資についての全体の「ポートフォリオ」管理が極めて重要。どういうところにどれだけの予算を使うのか、という考えの下、組織の役割に応じてセキュリティにどれだけ割くべきなのかは変ってくる。政策的な異文化に対応できなくなる可能性もある。

    現状の課題を出すよりも、まずは3年後の理想像を抽出する方がいい。そして現状と比較して足りないものを探し、それらを議論する。考え方としては、改善ではなく、現状にとらわれずに、とにかく探す、というアプローチを採ることにより、例題的な課題をどのように解決できるか、を考える。

    ソフトやシステムは絶えず変化するものであり、その中で常に新しい問題が起きる。そのような観点から、ダイナミックな変化に対しては、チェック&レビューに「企画」をプラスした組織を構築し、その基準をしっかりパーツに分けて作成することが大事。

    予算については単純各国比較だけでは説得力がない。例えば、米国にセキュリティに関する予算が多いといっても、結局脆弱なシステムを作って、防御側に予算をかけているだけという可能性もある。システムをしっかり作れば、セキュリティには費用はかからない。中核機関の人数も日本の現時点での少なさ(17人)は如何なものか、という気もするが、米国の800人の規模までは不要。

    内閣官房を中心とした政府全体としての取り組みが重要であり、内閣官房機能の強化が必要だと考えている。特にPOC(Point of Contact)についてはそう感じている。

    関連部署あるいはインフラによっても、「セキュリティ」の意味するところは、少しずつ異なっている。その結果、対外的なプレゼンターが誰なのかが見えなくなっているところがあり、多義的なばらつきを内包する、という意味で、内閣官房に求心的なリエゾン部分を持ってもらうことには賛成する。人員的にも、予算面でも、政府全体のセキュリティについて方向性を決める機能を内閣官房に期待する。

    まず質問であるが、事務局の説明では特定の省庁の関連施策だけが触れられていて、あたかも他の省庁は何ら施策を講じていないかのような印象を受ける。どのような考えで他の省庁の施策を省略しているのか。次に意見であるが、情報を集める、ということであるが、集めた情報はスタティックなものとなってしまい、すぐに陳腐化してしまう。今ではゼロデイアタックのように、脆弱性が公表された瞬間に攻撃が行われるケースがふえてきているので、情報を集めるだけではなく、その情報を迅速に実際の対策へと結びつけなくてはならない。
    現にそのような活動をしている行政機関もある。国にセンターをつくるという発想は面白いが、ただ集めるだけで迅速な対策に結びつかないようであれば、新たにつくる意味はない。


    (6)今後の予定
    ○ 事務局より説明

    −以上−

HOME
報道発表資料
内閣官房情報セキュリティ センター(NISC)とは
活動内容
会議
IT戦略本部
情報セキュリティ政策会議
調査研究
主要公表資料
広報活動
関連サイト
関連法令等
リンクと著作権について
Copyright (C) 2005 National Information Security Center. All Rights Reserved. サイトマップ ご意見・ご感想はこちらまで