有 識 者 構 成 員 意 見

有 識 者 構 成 員 意 見

① 小 野 寺 構 成 員 意 見

② 黒 川 構 成 員 意 見

③ 土 屋 構 成 員 意 見

④ 野 原 構 成 員 意 見

⑤ 前 田 構 成 員 意 見

⑥ 村 井 構 成 員 意 見

資料 3

有識者構成員意見①

国民を守る情報セキュリティ戦略(案)へのコメント

平成22年5月11日 ＫＤＤＩ株式会社 代表取締役社長兼会長 小野寺 正

1. 戦略実現に向けた取組内容の具体化

戦略の中で幅広の施策に触れることは良いことだと考えるが、総花的過ぎで具体性に乏し い内容であると現実性を損なうことが懸念される。

「具体的な取組」に掲げられている内容については、現実的、及び具体的行動事項への充分 な落とし込みが不可欠であり、それらの優先度付けと、達成レベルを判断する評価指標を明 確化することが重要である。年次計画において「セキュア・ジャパン」を策定する段階では、上 記のことを十分に念頭において進めていただきたい。

２．以前の基本計画等からの継続性

平成 19 年度から平成 20 年度において、セキュリティ・バイ・デザイン（SBD）と称して「企画 から運用・保守までの各段階における点検リスト」としての「情報システム対策実施手引書」を 作成し、その展開を進めることが計画されていたが、本 SBD の件は、「政府機関情報システ ムに情報セキュリティ対策が適切に組み込まれる仕組みの構築（P10）」の部分に継承されて いるのか。以前の基本計画等において良好な施策として合意された内容の継続性について は、十分考慮していただきたい。

３．先を睨んだ研究開発の必要性

「２ 新たな環境変化に対応した情報セキュリティ政策の強化」の中で、「（４）技術戦略の推 進等 ① 情報セキュリティ関連の研究開発の戦略的推進等（P16）」を取り上げている。現在 挙げられている研究開発案件は、クラウドコンピューティング、IPｖ６、情報家電、携帯端末な ど、最近のホットトピックの羅列に留まっており、新しい研究開発のための戦略が包含されて いない。海外の戦略動向を十分に調査検討の上、研究開発項目の優先度の決定、資金投入 などを行うことにより、先を睨んだ研究開発のための戦略を示すことが期待される。

以上

有識者構成員意見②

1

2010 年 5 月 11 日 富士通株式会社 黒川 博昭

第 23 回情報セキュリティ政策会議 意見書

内閣官房では平成 17 年に情報セキュリティ政策確立・推進の枠組みを強化し、政府機関、

重要インフラ、企業および個人の各分野において成果を挙げてこられました。この活動を継承 して頂き、現政権で一層の定着をお願いします。また、今回策定する「国民を守る情報セキュリ ティ戦略」についても、政治主導で牽引頂きたいと考えます。

1. 新戦略の基本方針

① ITを徹底的に使いこなすため、情報セキュリティは自然にITへ組み込まれるべき IT は企業活動や国民生活の基礎であり、徹底して使いこなすことがますます重要になって います。このためには、情報セキュリティ対策が企業や個人の負担にならないように、IT の活用 に際して自然に組み込まれていることが重要です。そして、自然に組み込まれたセキュリティ対 策に対し新たな付加価値を創造し、その価値を政府・企業・個人で共有できる社会を構築する ことが必要と考えます。

② ITの利用者及び供給者はリスク認識を共有すべき

「第 2 次情報セキュリティ基本計画」で示された「事故前提社会」というコンセプトはとても重 要です。製品やサービスの供給者である政府機関や企業は、ともすると 100%安全を保証する ことが期待されました。しかし、リスクはゼロにはならず、インターネット環境においてはルールを 守らない人たちが存在することから、事故前提社会という認識を持ちました。製品やサービスの 供給者は、事故を未然に防ぐ努力を行うことは勿論のこと、万が一事故が生じた際の対応も、

厳しく謙虚であることが求められます。供給者がこの責任を全うすることを前提として、利用者も リスクを認識することが望まれます。

③ ネット社会とリアル社会の区別がなくなる中で真に守るべきものを議論するべき 今後、ネット社会とリアル社会を区別しない IT に慣れ親しんだ若い世代、いわゆる、デジタ ル・ネイティブの比率が高くなります。そのような時代を見越した際に、ネット社会の現象がリア ル社会に対して影響を起こすことに留意して、真に守るべきもの、その重要性、責任の所在等 を考えコンセンサスを形成することが重要です。

有識者構成員意見②

2

2. 大規模サイバー攻撃（DDoS 攻撃）への対応

「国民を守る情報セキュリティ戦略」でとりあげている大規模サイバー攻撃への対応は、国民 と社会を守る重要なテーマです。これについては、守るべき社会基盤や機能の優先順位をス テークホルダ間で共有し合意することが重要です。そして、対処の過程においては、官民 SOC の連携や、民間企業の事業継続性確保について十分なご検討をお願いします。

また、DDoS 攻撃への耐性をもつシステム防御技術の研究開発も進んでおり、これを実用化 して政府機関や重要インフラの基盤に適用していくことが必要と考えます。更に、日本国内の 一般ユーザの機器が踏み台とならないように、関連技術やその運用についても検討が必要と 考えます。

3. 政策の推進体制の明確化と NISC のリーダーシップ

「情報セキュリティ基本計画」や「セキュアジャパン」においては、政策の推進体制や実施主 体が明確にされています。「国民を守る情報セキュリティ戦略」においてもこれを受け継いで頂 きたいと思います。

企業における IT 活用については経済産業省、ネットワークについては総務省、消費者保護 は消費者庁、人材育成は文部科学省等の各省庁の情報セキュリティ施策を、情報セキュリティ 推進のためのインセンティブ付与を含め、NISC が強いリーダーシップを持って牽引し、推進頂 きたいと思います。

以上

有識者構成員意見③

「国民を守る情報セキュリティ戦略」へのコメント

2010年5月11日 慶應義塾大学 土屋大洋

国家安全保障からの視点強化

陸、海、空、宇宙に続く第五の戦場として認識されつつあるサイバー空間での攻撃は、

非伝統的安全保障の中心的課題として認識されるようになっており、サイバー攻撃の発生 を想定した政策の強化および対処体制の整備はのぞましい。すでに世界でサイバー攻撃の 事例は多く出ている。それによる直接的な死者は皆無かそれに近いものの、今後もそうだ というわけではない。国家安全保障という視点から対策を強化することが必要である。

サイバー攻撃による被害は、物理的な設備へのダメージやサービス続行不能といったも のだけではない。装備のハイテク化、オペレーションの変革が進んでおり、その中で情報 通信機器の役割は大きくなっている。サイバー攻撃によって、いざというときに防衛機能 が停止させられる事態も想定する必要がある。

さらには社会的・心理的なダメージも無視できない。現代ではコミュニケーションの不 通が混乱を大きくする可能性がある。社会的・心理的なダメージは目に見えないが、長期 的には国民への影響が大きくなるおそれもある。情報セキュリティは国民には実感が湧き にくいが、そのギャップを埋める方策が必要である。

「レイヤー・ゼロ」のセキュリティ

情報通信システムのセキュリティもさることながら、「レイヤー・ゼロ」ともいえる電力 網のセキュリティも一体にして考えなければならない。情報通信ネットワークの物理的イ ンフラストラクチャは「レイヤー・ワン」といわれるが、電気がなければ情報通信機器は 意味をなさない。

情報通信ネットワークはつながる機器や人が多いほど「ネットワーク効果」が高まるが、

電力網は必ずしもそうではない。むしろ、ネットワークが大きいほど、停止したときのダ メージが広く及ぶとともに、対応が難しくなる（例えば、2003年の北米の大停電はいまだ に原因がはっきり分からない）。

化石燃料から再生可能エネルギーへの移行が今後は不可欠になっていくが、それに合わ せて発電・送電システムのグリーン化と分散化を行い、環境問題対応を進めるのと同時に 安全保障上の課題の克服にも努めるべきである。

以上

有識者構成員意見④

情報セキュリティ政策会議にあたっての意見

2010年5月11日

（株）イプシ・マーケティング研究所 代表取締役社長 野原 佐和子

1. 「国民を守る情報セキュリティ戦略（案）」について

これまで、「情報セキュリティ基本計画」、「政府機関の情報セキュリティ対策のための統一基 準」、「重要インフラの情報セキュリティ対策に係る行動計画」等を通じて、我が国の情報セキュ リティに関する政策について検討・遂行・評価を行ってきたが、政府機関及び重要インフラを 中心とした政策だけでなく、今後はさらに「企業」及び「個人」に向けての政策も充実していく必 要がある。

その点で、「国民を守る情報セキュリティ戦略（案）」については、先日の政務官との意見交 換会で、国民・企業に対する情報セキュリティ対策の重要性をコメントした者として、「国民・利 用者の視点重視」がしっかり書き込まれている点を評価したい。

ただし、「国民を守る情報セキュリティ戦略」というタイトルは良いし、「国民・利用者の視点を 重視した政策の推進」も素晴らしいが、「国民・利用者保護」（の観点・強化）という表現は好ま しくないのではないか。

なぜなら、国民・利用者は保護すべき（受動的な）存在というだけでなく、自らが啓発されて 判断して行動する（能動的な）存在だからである。

本文にも記載されている通り、「情報セキュリティ対策に完璧は期しがたく、持続的に取組み を改善していく必要がある」というスタンスが極めて重要であり、国民・利用者の視点において も、「何も起こらないように完璧な安全を政府や社会が提供する」という受動的な国民イメージ を描くのでなく、（情報セキュリティ対策に完璧は期し難いが、）「官民・国民が協力して、持続 的に取組んでいきましょう」というメッセージを打ち出すことが重要である。

2. 情報セキュリティ施策の方向性

「政府機関」「重要インフラ」「企業」「個人」と対象が幅広くなるにつれて、情報セキュリティに 対する取り組み姿勢・方向性を明確にすることがより重要になる。

これまでの情報セキュリティ関連の施策は、「いかに危険かを伝えて注意を喚起すること」と

「結論としての実施すべき事項の提示」との2点に集中し過ぎているのではないか。

入り口としての「注意喚起」と出口としての「実施対策」だけを提示するというスタンスは、効 率的施策に見えるかもしれないが、考えないで言われるままに動く人間を作っていくだけでは ないか。危険、危険とただ不安感を煽るだけの脅しでは、情報セキュリティへの知識も意識も 高まらない。そうではなく今後は、可能な限り正確な情報を関係各者に提供することによって、

事実を正しく知って状況判断できる環境を整備していくことが重要であり、その情報をもとに状 況判断を行い、適切な対策を主体的に実施することができる「人」を育成していくことが重要で ある。

- 1 -

有識者構成員意見⑤

2010/5/11

第23回情報セキュリティー政策会議

今後の情報セキュリティー政策の課題

首都大学東京法科大学院教授 前田雅英

１ 内閣の情報セキュリティ政策の整理

・内閣の情報セキュリティ対策には様々なものがあるが、それを整理すると、

①サイバーテロ・ネット犯罪など外部からの攻撃から国家（国民）を護る

②政府機関のネット上の機密の漏洩を防ぎ国民の利益を護る

③ネットと不可避に結びついた重要インフラの安全性を確保する

④ネット利用そのものの国民の利用上の不安を取り除く

⑤ＩＴ技術の競争力を高めるための「セキュリティ技術」の開発を支援

⑥国民のネット利用能力の向上に資する政策を行う

⑦ネットが青少年にもたらす有害性を除去する政策を行う ということになろう。

・内閣があえて行わなければならない点・緊急性の高い問題は何かという点を考慮 して順序付けを行うべきである。

２ これまでの政策の評価

・1-②③重要インフラなどの対策はかなりの前進が見られた点は、きちんとを評価 すべきである。ただ これまで強く存在した「官民連携という視点」から「国家 の行うセキュリティ対策」という視点を、若干強く意識すべきように思われる。

・今回の「戦略（案）」は、１-① を重視する点が鮮明になっており、時宜に適 った政策の修正が成されている。

・今後は、情報収集体制の強化と緊急事態発生時の体制強化も念頭に置かれるべき である。その際には、集めた情報を「国民の安全」という視点から統括可能な組 織作りが肝要である。

３ 直ちに取り組むべき喫緊の課題は何か

・国際的連携も踏まえたサイバー攻撃に対する備えの充実が第一に重要である。国 民のネット社会への不安の解消にとって最も根源的な対策である。

・日本の国際的地位から、「児童ポルノを発信する日本」の対策も急ぐべきである。

- 2 -

。 その意味で、総務省の「ブロッキング対策の前進」は高く評価すべきである

・ウィルス対策・不正行為に対する立法を急ぎ、ファイル共有ソフトを通じた情報 漏洩への対策を行うべきである。

４ 中長期的な観点から特に重点をおいて活動すべき領域はどこにあるのか

・情報セキュリティー対策（特にテロ対策）の組織・要員の充実を構想しなければ ならない。「外注」の国家安全保障は危険である。

・インテリジェンスの視点も加味した「公務員」の養成も念頭に置くべきである。

・国民がネットを安心して利用できる為に、クラウドコンピューティング等の危険 性の分析等、民間では取り組みにくい課題に対応すべきである。利用者国民の視 点に立ったネット取引などの安全化のためのガイドライン・法規制の検討を進め ていくべきである。

・ネット社会がもたらす青少年の育成を含めた社会全体に及ぼす負の側面の除去に 本格的に取り組む必要性がある。

意見書

2010．5．7 村井 純

1. 中国などアジアにおけるインターネット急伸国に対する具体的な対応と、それに関する 対欧米体制の明確化

現在、中国をはじめとするアジア諸国のインターネットインフラが急速に成長している。

これは成長している各国の問題に留まらず、成長に関連した経済効果や各国間の接続をど のように発展させていくべきかという課題がある。欧米はこのような課題に対して強い興 味を示しており、経済発展やインフラ形成についての対応を始めているが、わが国は十分 な活動を始めていない。これは情報セキュリティにおいてもわが国とアジア諸国との接続 性をどのように確保するかという問題に始まり、情報技術の利用促進に対する経済効果と リスクの対応など、真剣に取り組むべき課題が多い。このような状況に対する具体的な対 応指針や手順を明確化すると同時に、欧米に対してもどのような立場をとるべきか考える 必要がある。

2. 国全体の科学技術政策・IT政策・文化政策などと密に連結した情報セキュリティ戦略

情報通信技術は様々な分野で業務の効率化などに貢献し、拡大を続けている。これに応 じて情報基盤も汎用化・多様化を続けているが、この中に情報セキュリティに関するデザ インを組み込み、安心・安全な社会を形成していかなければならない。特に科学技術政策 や IT 政策・文化政策はわが国における重要な政策であり、これらが連携した情報セキュ リティ基盤が構築されることによって、情報セキュリティ対策の効率化が実現できる。

3. 人材、特に情報セキュリティ政策に関する実働の人材確保の中長期的メカニズムの確立 わが国で情報セキュリティ政策を加速させるためには、依然として優秀な人材の配置が 重要な課題であり、そのための人材確保のメカニズムを確立させなければならない。情報 セキュリティの専門家は計算機科学全般だけでなく、組織のマネジメントや政策・法制度 にも長けている貴重な人材である。特に行政の情報セキュリティ対策を促進させるために は、政府業務を知る専任の人物がシステムを分析・設計しなければならない。このような 人物を確保するためには、ツールなどを用いた人材育成に加え、中長期的な戦略に基づく 継続的な雇用体制を確立させなければならない。他国ではこのような体制が整いつつある 現在、わが国も早急な体制づくりが急務である。

以上

有識者構成員意見⑥