-1-
N N I I S S C C N N E E W W S S
第2号(2006年5月18日発行)
内閣官房情報セキュリティセンター
National Information Security Center (NISC)
目次 目 次
1.トピックス ~ セキュア・ジャパン2006(案)について ~
2.[補佐官ノート]「情報セキュリティにおける次の一手とは」 ~ 観測無くしてセキュリティ対策無し ~ 3.情報セキュリティQ
4.NISCOLUMN(ニスコラム) ~ 障害対応時にこそ真剣に考えたい本当の情報セキュリティ対策の意味 ~
1. 1 . トピ ト ピッ ック クス ス
【「セキュア・ジャパン2006」(案)について】
「セキュア・ジャパン2006」(案)とは
2006年4月28日の第5回情報セキュリティ政策会議
(注)において、「セキュア・ジャパン2006」のパブリック コメント案が決定されました。「セキュア・ジャパン2006」(案)は、我が国の情報セキュリティ問題全般につい ての3年間の計画(2006年度~2008年度)である「第1次情報セキュリティ基本計画」(2006年2月2日情報 セキュリティ政策会議決定)を実現するための、2006年度における実施プログラムであり、「2006年度の実 施計画」と「2007年度の重点施策の方向性」から構成されています。
「2006年度の実施計画」では「官民における情報セキュリティ対策の体制の構築」を重点として、133の具 体的施策を推進することとしています。また、「2007年度の重点施策の方向性」では、「官民における情報セ キュリティ対策の底上げ」を重点として、2007年度に推進する施策の方向性として、26の施策の方向性を提 示しています。
これらの主な施策例は、「政府機関・地方公共団体」、「重要インフラ」、「企業」、「個人」の各主体に対し、「個 別推進施策」「横断的推進施策」及び「2007年度重点施策の方向性」として、図1に示してあります。
「セキュア・ジャパン2006」(案)の詳細については、
「セキュア・ジャパン2006」(案)の概要
http://www.bits.go.jp/conference/seisaku/dai5/pdf/5siryou0301.pdf
「セキュア・ジャパン2006」(案)
http://www.bits.go.jp/conference/seisaku/dai5/pdf/5siryou0302.pdf
第1次情報セキュリティ基本計画と 2007 年度の重点施策の方向性との対応 http://www.bits.go.jp/conference/seisaku/dai5/pdf/5siryou0303.pdf
を御参照下さい。
この、「セキュア・ジャパン2006」(案)については、5月26日までパブリックコメントを実施しております。
※詳細は、
http://www.bits.go.jp/active/kihon/sj2006.htmlをご参照下さい。
-2-
図1 「セキュア・ジャパン2006」(案)と各主体に係る主な施策例
(注)情報セキュリティ政策会議
情報セキュリティ政策会議は、我が国の情報セキュリティ基本戦略等、情報セキュリティに関する問題の根幹に 関する事項を決定する母体として、2005年5月30日に高度情報通信ネットワーク社会推進戦略本部(IT戦略本 部)の下に設置されました。本会議は、内閣官房長官を議長、情報通信技術(IT)担当大臣を議長代理とし、情報 セキュリティに係る国務大臣及び民間有識者から構成されています。
情報セキュリティ政策会議は、関係省庁と連携しながらその事務局を務める内閣官房情報セキュリティセンター
(NISC)と共に車の両輪として、我が国の情報セキュリティ問題に関する中核機能を形成します。
図2 情報セキュリティ政策会議と内閣官房情報セキュリティセンター セキュア・ジャパン2006(案)
セキュア・ジャパン2006(案)
情報セキュリティ問題全般に関する中長期計画
~ 2006年度から2008年度までの3ヵ年計画 ~ 情報セキュリティ基本計画 情報セキュリティ基本計画
(2006年2月2日決定)
(2006年2月2日決定)
○2006年度の実施計画 ⇒ 「官民における情報セキュリティ対策の体制の構築」「官民における情報セキュリティ対策の体制の構築」
○2007年度の重点施策の方向性 ⇒ 「官民における情報セキュリティ対策の底上げ」「官民における情報セキュリティ対策の底上げ」
GSOC(Government Security Operation Coordination)の本格稼動 分かりやく実用的な教育コンテンツの作成・配布
情報セキュリティ教育者、専門家の育成・訓練とキャリアパスの構築に向けた戦略の検討 等 2007年度
重点施策の方向性
高セキュリティ機能を実現する次世代OS環境の開発 情報セキュリティ対策に関する評価指標の確立 等 横断的
推進施策
小中学校における 情報セキュリティ教育 の推進 等
企業における情報 セキュリティガバナン スの確立促進 等 情報共有・分析機能
(CEPTOAR)の整備 等 PDCAサイクル
の確立 等 個別
推進施策
個 個 人人 企
企 業業 重要インフラ
重要インフラ 政府機関・
政府機関・
地方公共団体 地方公共団体
主たる施策例 主たる施策例
セキュア・ジャパン2006(案)
セキュア・ジャパン2006(案)
情報セキュリティ問題全般に関する中長期計画
~ 2006年度から2008年度までの3ヵ年計画 ~ 情報セキュリティ基本計画 情報セキュリティ基本計画
(2006年2月2日決定)
(2006年2月2日決定)
○2006年度の実施計画 ⇒ 「官民における情報セキュリティ対策の体制の構築」「官民における情報セキュリティ対策の体制の構築」
○2007年度の重点施策の方向性 ⇒ 「官民における情報セキュリティ対策の底上げ」「官民における情報セキュリティ対策の底上げ」
GSOC(Government Security Operation Coordination)の本格稼動 分かりやく実用的な教育コンテンツの作成・配布
情報セキュリティ教育者、専門家の育成・訓練とキャリアパスの構築に向けた戦略の検討 等 2007年度
重点施策の方向性
高セキュリティ機能を実現する次世代OS環境の開発 情報セキュリティ対策に関する評価指標の確立 等 横断的
推進施策
小中学校における 情報セキュリティ教育 の推進 等
企業における情報 セキュリティガバナン スの確立促進 等 情報共有・分析機能
(CEPTOAR)の整備 等 PDCAサイクル
の確立 等 個別
推進施策
個 個 人人 企
企 業業 重要インフラ
重要インフラ 政府機関・
政府機関・
地方公共団体 地方公共団体
主たる施策例 主たる施策例
政府機関政府機関
(各省庁)
(各省庁) 重要インフラ重要インフラ 企業企業 個人個人
①①情報セキュリティ政策に関する基本戦略の立案情報セキュリティ政策に関する基本戦略の立案
②政府機関の総合対策促進②政府機関の総合対策促進
③
③政府機関の事案対処支援政府機関の事案対処支援
④④重要インフラの情報セキュリティ対策重要インフラの情報セキュリティ対策
内閣官房情報セキュリティセンター(NISC)
内閣官房情報セキュリティセンター(
内閣官房情報セキュリティセンター(NISC)NISC)
◆諸外国との情報交換・連携の一元化
◆国際的な信頼醸成 重要インフラ所管省庁
国土交通省
金融庁 経済産業省
総務省
情報セキュリティ関係省庁
総務省
警察庁 経済産業省
防衛庁
情報セキュリティ政策会議 情報セキュリティ政策会議 情報セキュリティ政策会議
IT戦略本部 IT戦略本部
情報セキュリティ基本戦略等、
情報セキュリティ基本戦略等、
根幹となる事項を決定 根幹となる事項を決定
厚生労働省
政府機関政府機関
(各省庁)
(各省庁) 重要インフラ重要インフラ 企業企業 個人個人
①①情報セキュリティ政策に関する基本戦略の立案情報セキュリティ政策に関する基本戦略の立案
②政府機関の総合対策促進②政府機関の総合対策促進
③
③政府機関の事案対処支援政府機関の事案対処支援
④④重要インフラの情報セキュリティ対策重要インフラの情報セキュリティ対策
内閣官房情報セキュリティセンター(NISC)
内閣官房情報セキュリティセンター(
内閣官房情報セキュリティセンター(NISC)NISC)
◆諸外国との情報交換・連携の一元化
◆国際的な信頼醸成 重要インフラ所管省庁
国土交通省
金融庁 経済産業省
総務省
情報セキュリティ関係省庁
総務省
警察庁 経済産業省
防衛庁
情報セキュリティ政策会議 情報セキュリティ政策会議 情報セキュリティ政策会議
IT戦略本部 IT戦略本部
情報セキュリティ基本戦略等、
情報セキュリティ基本戦略等、
根幹となる事項を決定 根幹となる事項を決定
厚生労働省
左記例示の施策 を含め 133 項目
左記例示の施策 を含め 26 項目
-3-
2 2 . . [ [ 補 補 佐 佐 官 官 ノ ノ ー ー ト ト ] ] 「 「 情 情 報 報 セ セ キ キ ュ ュ リ リ テ テ ィ ィ に に お お け け る る 次 次 の の 一 一 手 手 と と は は 」 」
【観測無くしてセキュリティ対策無し】
情報セキュリティ対策における「技術」の役割は多種多様である。ファイアウォールのように通信制御を 行うものや、ネットワークへのアクセスを管理する VPN ゲートウェイや RADIUS 等の認証システム、不審な通 信を検知する侵入検知装置(IDS)等が真っ先に思いつくものだろう。更には、様々なセキュリティ対策が施 されたメールサーバや WWW サーバも、当然情報セキュリティ対策の一環として技術が積極的に活用されると ころだ。
情報セキュリティ管理者の重要な役割として、管理対象のネットワーク環境において、どのような技術を 導入し、どのように運用するのかを体系的に設計し、実装することが挙げられる。別の言い方をすれば、情 報セキュリティ対策のための技術活用フレームワークを決めて、運用することと言える。
このフレームワークを決めるときには、組織の規模、業務内容、情報システムの利用形態、従業員数等、
数多くの要素を考慮しつつ、同時に情報セキュリティ対策に投じる事ができる予算や人員の制限にも気配り しながら設計を行う。このため、組織毎にカスタマイズされ、特色あるフレームワークが生まれる。
ところが、このフレームワーク設計の段階で、管理者が陥りやすい失敗が幾つかある。その代表的なもの が、現在の情報システムとネットワークがどのように使われているかを知るための観測系(監視系)システ ムを体系的に組上げることに失念した結果、個々のシステムの運用状態は分かっても、全体として何が起き ているかが分からない状況が頻発する状況を自ら作り出してしまうことだ。特に情報セキュリティ対策に投 じる予算が限られた状況では、この失敗をしやすい。
情報セキュリティ対策の PDCA サイクルを回すためには、現状のシステムがどのような状況に置かれている のかを把握し、さらに情報セキュリティ対策を施した事により何が変わったのかを知る事が必須だ。このプ ロセスが実行できなければ、実装した対策が適切な対策だったかどうかを検証することができず、結果とし て改善方策も適切なものにならない可能性が高まってしまう。
情報セキュリティ対策のフレームワークを考えるときには、必ず観測系をどのように構築するのかを真剣 に考えなければならない。暗闇の中をライトも持たずに歩き回るような状況を作り出すのは愚の骨頂である。
(山口 英 内閣官房情報セキュリティ補佐官)
3. 3 .情 情報 報セ セキ キュ ュリ リテ ティ ィQ Q
暗号文に対する攻撃方法も様々あり、例えば「X 個のデータの中から Y 個をランダムに選択した際に、その中に 同じデータが2個以上存在する確率」の考えを利用した攻撃方法として、「暗号文一致攻撃」というものがあります。
そこで、この考えに基づいた場合、少なくとも何名集まれば、同じ誕生日の人が含まれる確率が約1/2になるで しょうか。
① 13 名 ② 23 名 ③ 53 名 ④ 103 名 ⑤ 365 名 ⑥ ①~⑤以外
(なお正解は次号にて掲載致します。)
【前号の答え】
正解は「④ パキスタン」でした。コンピュータウイルスの発祥国は諸説ありますが、現時点で最も有力な説と
-4-
しては、パキスタンのとあるプログラマーが、1986 年に自分で作成したソフトウエアが不正コピーされていたこと に対し、警告の意味で作った自己感染プログラムが最初と言われています。つまり現在のような悪質なコンピュ ータウイルスを意図して作られたわけではありません。その証拠に、コードの中には「駆除ワクチンが欲しい方は 当方まで連絡を下さい」というメッセージとプログラマーの電話番号を入れてあったそうです。
4. 4 .N NI IS SC CO OL LU UM MN N( (ニ ニス スコ コラ ラム ム) )
【障害対応時にこそ真剣に考えたい本当の情報セキュリティ対策の意味】
この4月から政府統一基準を担当することになったが、それまでは当センター発足以来、重要インフラの情報セ キュリティ対策の推進を担当してきた。その間、何度となく重要インフラの IT 障害が発生し、国民生活や経済活動 に大きな混乱を巻き起した。
そのたびに、IT が未完の技術であること、その IT が重要インフラのサービス提供の中枢部に浸透しつつある現 状を考えると、情報システムの構築・利用に関わる組織全体の「人間力」によってこれを御していく意外に方法が ないことを痛感させられる。
障害を起こした企業(主として情報システムの利用企業)の記者会見では、カメラを前に企業幹部が深々と頭を 下げるという光景が最近ではすっかり定着してしまった。さらに、多くの会見の最後に企業経営者の口にする言 葉も、「想定外だった。」、「あってはならないこと。」、「徹底した原因究明と再発防止に万全を期す。」など決まり文 句でくくられる。言葉の意味する内容が不明確なこと以上に、本当の原因や責任の所在に経営層が気づいている のか?本当に適切な再発防止策が講じられるのか?私の不安はますます増大する。
対策基準を考える立場からみると、「想定外」とは脅威想定が問題だったという意味だし、「あってはならないこ と」とは、ルール(規程)はあってもその運用実態がチェックされていなかったことを意味する。さらに、「遺憾だ」と 自分に責任があるのかないのか曖昧な言葉で締めくくるトップも多いが、これも情報セキュリティに関わる組織体 制と責任分担が明確に決まっていなかったことを意味する。組織力で情報セキュリティを確保する仕組みの重要 な基礎が欠落していたことを各社のトップが公然と認めているのだ。
情報セキュリティには重要度が増す反面、経営資源(人・モノ・金)が十分に配分されないという構造的な問題が ある。こうした状況に、都合の悪い情報ほど経営幹部に伝わりにくいという大企業の病理が加わるために、経営 者層に適切なアセスメントと処方箋を考える機会は何か起こらない限り訪れることはない。不幸にして既に障害を 起こしてしまった企業の経営者にも、万が一、「当面の嵐をやり過ごす」という感覚で受けとめられているとしたら、
国民の IT 障害に対する不安は永久に解消することはないだろう。
(弁慶号)
<バックナンバー・配信先変更・配信中止>
本メールマガジンにおけるバックナンバーの取得及び配信先の変更、配信の中止等は下記の URL から可能です。
http://www.bits.go.jp/nisc-news/
<御意見、御感想>
http://www.bits.go.jp/mail.html
