情報セキュリティ政策会議へのコメント
平成20年12月10日 KDDI株式会社 代表取締役社長兼会長 小野寺 正
(1) 重要インフラにおける「検証レベル」について
重要インフラ第2次行動計画として、「サービスレベル」、及び「検証レベル」を 設定し、重要インフラサービスの安定提供を目指すこととしています。特に「検 証レベル」については、重要インフラサービスが一定の水準を下回るかどうか の指標として、本行動計画で検証の対象とするレベル、と定義されています。
本施策の大枠の方向性は理解できるものの、設定水準の下回りの検証方法、
検証に向けた各重要インフラ事業者間の連携方法、水準の下回りの後の対 応・処置など、本施策の具体的な実施方法の考慮が欠落しているように見受 けられます。今後の重要インフラサービスの安定供給に向けた更なるご検討 をお願いします。
(2) 分野横断的演習について
「分野横断的演習」は、重要インフラの情報セキュリティ対策の柱のひとつと 考えますが、演習の成果・結果をどのように重要インフラの活動に反映させる かという点が重要になります。本演習の目標のひとつである「各事業者におけ る情報セキュリティ対策の向上に向けた取り組みに活用」の達成に向け、成果 活用の具現化、実施例の調査などの活動が今後必要になると考えます。また、
対策のもう一つの柱である「相互依存性解析」の結果を活用し、関係分野間 のIT障害の波及シナリオの検証および、当該事象復旧に向けた重要インフラ 対応力の向上に活かせる演習に取り組む必要があると考えます。
(3) 「Security By Design」について
「Security By Design」(SBD)については、政府機関統一基準の活用で十分か
(実施手引書、点検リストで十分か)、具体的に政策として何を出力するのか、
具体的にどのように情報セキュリティ対策の実装につなげ、誰がどのようにテ ストしようとしているのかが、現段階では不透明であると感じます。「SBD確保 のための方策検討会」では、SBDの具体的な進め方、実施方法につき、議論 を進める必要があると考えます。
以上
資料8
