意見書
(藤本正代)
1. 情報セキュリティ報告書に係る事項
♦ 情報セキュリティガバナンスは、どのような組織でも実践しているものです。そ れに対して、情報セキュリティ報告書を作成・公表するのはステークホルダーに その取組みに関する情報を提供するものです。従って、対象読者にわかりやすい 表現になっていることが大切だと思います。その視点で見ると、どのような考え 方に基づいて対策を策定し、実践しているかといった“基本的な考え方から対策 に関する戦略へのつながり”が見える表記になっているとよいと思います。これ により、ʻ誰かに強制されているʼものではなく、自らの意志で実施していること であるという共通理解を組織関係者全員で持つことも可能になるのではないかと 思います。たとえば、第 1 回の委員会資料8の3ページ「②経営者の情報セキュ リティに関する考え方」の方針に相当する記述は不可欠だと考えます。
♦ 各政府機関が工夫して実践している情報セキュリティの取組みを、自由な形式で 書けるような箇所が報告書中にあるとよいと思います。情報セキュリティの取組 みに関する情報公開はまだ始まったばかりで、グローバルに見ても日本が先進的 に実施している試みと理解しています。従って、評価手法も未発達でこれから作 られていくものだと考えます。評価基準が設定できる(しやすい)かどうか等に 目が行き、新しい試みやそれについての情報公開を躊躇したり、評価方法に合わ せて施策を考えるようなことがないように、特に初期の頃は、報告書の表記につ いて、目標値を設定していない取組みについても記述できるようにしておいても よいかと思います。
2. 定量的評価等に係る事項
♦ 各政府機関が実施する情報セキュリティの取組みには、これまでの取組みの流れ から、全機関共通で実施するもの(ベースライン対策)と、各機関がそれぞれの 基本方針から必要であると判断し導入する対策があると思います。前者について は実施度など、共通の評価指標が設定されるとよいと思います。特に、これまで の取り組んでこられた対策実施状況報告の評価や重点検査などは良い取組みだと 思いますので継続されることを望みます。後者については、個々で目標を考えて 設定し、結果を報告するという形ができればと考えます。それぞれ異なる発想や かたちで設定された評価とその結果について、さらに共通の評価指標を考えるの であれば、第 1 回の委員会参考資料3−2で示されているような「良い取組みに
資料5−2
対してプラスの評価をする」といった方法は有効だと思います。たとえば、新規 性(評価の仕方の新規性も含む)を見るような方法もあるのではないでしょうか。前 項でも触れたように、管理や評価のための取組みにならないような仕組みを考え ることが大切だと思います。
♦ 情報セキュリティ対策を策定し、その実施率や達成度を監視することは有効だと 思いますが、対策の実施度等に基づいての評価は、いわばその対策を行えば事故 が減るということを前提条件として置いているものです。情報セキュリティの本 質的な目標は、事故を減らす(防止する)ことと考えれば、評価は結果である事故発 生に基づいて行うのが本来の筋道といえます。しかしながら、個々の対策と結果 としての事故との関係性は、明らかなものもありますが、複合的でわかりにくい ものが多いのも実状です。この点について、現時点で定量的に評価し難いもので も、将来的にある程度の量の情報が公開され、ケースが集積されれば、統計的な 分析により、有効な定量的評価軸や評価手法を開発することも可能だと思います ので、まずは先に述べたように、できるだけ情報を開示する方向で進めることが 大切だと思います。また、同時に、インシデントについての情報収集をする仕組 みを持つことが大切だと思います。大きな事故になる前に兆候をつかむことによ り未然防止が可能になりますが、インシデント情報はそのために不可欠なもので す。対策の実施や公開のかたちと、収集したインシデント情報を組み合わせて分 析することにより、状況に合った対策の見直しが可能になりますし、同時に有効 な定量的評価手法の開発にもつながると思います。
以上
