• 検索結果がありません。

資料2

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "資料2"

Copied!
7
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 7 ページ )

全文

(1)

  情報セキュリティ政策会議  情報セキュリティ報告書専門委員会 

第1回会合議事要旨   

1.日  時 

    平成 21 年5月 22 日(金)  16 時 00 分〜18 時 00 分   

2.場  所 

    内閣府別館会議室   

3.出席者    【委員】 

    大木  榮二郎  委員    工学院大学  教授 

    金子  啓子  委員    パナソニック株式会社情報セキュリティ本部  本部長      喜入  博  委員    金融庁情報化統括責任者(CIO)補佐官 

    高橋  伸子  委員    生活経済ジャーナリスト 

    谷口  博一  委員    監査法人トーマツ  パートナー 

    藤本  正代  委員   富士ゼロックス株式会社マネジメントイノベーション オフィス  シニアマネージャー 

    満塩  尚史  委員   環境省情報化統括責任者(CIO)補佐官 

(五十音順) 

 

【政府】 

    内閣官房情報セキュリティセンター      警察庁 

    総務省      経済産業省      防衛省   

4.議事概要 

  (1)  内閣官房情報セキュリティセンター  センター長挨拶   

(2)  委員長の選出 

  ○  大木委員を委員長に選出   

(3)  大木委員長挨拶   

  (4)  会議の公開等について 

    ○  事務局より資料3について説明、原案のとおり了承   

資料2 

(2)

(5)  政府機関の情報セキュリティ対策の枠組みについて    ○  事務局より資料4に沿って説明 

 

(6)  第2次情報セキュリティ基本計画における情報セキュリティ報告書に係る記述 等について 

  ○  事務局より資料5に沿って説明   

(7)  これまで NISC が行ってきた検査・評価等について    ○  事務局より資料6に沿って説明 

 

(8)  米国政府機関における情報セキュリティ対策とその評価について    ○  事務局より資料7に沿って説明 

 

(9)  情報セキュリティ報告書について    ○  経済産業省より資料8に沿って説明   

(10) 富士ゼロックス(株)における情報セキュリティ報告書作成について    ○  藤本委員より資料9に沿って説明 

 

(11) 自由討議 

○  政府機関が、主体的・能動的に情報セキュリティに取り組むために、報告書を 出すという事について、インセンティブをどういう形で置くかというところが、

一番大事。もう少し前向きに皆がモチベーションを持てるような目的の設定がで きればいいと思う。90 年代の後半だったと思うが、情報公開法が制定されて何を 公開して何を例外にするのか、などの検討をやってきたと思う。情報公開法のポ リシーの部分を目的に、前向きにまず設定するというのが、能動的な取り組みに 誘導できるような報告書の目的になるのではないか。 

 

○  富士ゼロックスの事例を聞いて関心があったのが、柱があったという事。やは り、政府の中でこういうような報告書を作る時の柱が何なのか明確にすべき。単 に報告書を出すということだけでこの制度を進めていくと、各省庁やらされ仕事 みたいな感じを受けてしまう。報告書を出す事が、自分たちがやっている仕事を 整理し、かつ、国民の目から見て安心できるような仕組みができている、と言う ことの過程を作り上げることになり、最終的な結果というのが、単なる報告書だ という形も考えられる。 

 

○   説明責任を果たすと言うような言い方に戸惑ったが、それ以前に、どのように 伝えればいいか、という所がまずあるのではないか。企業においては読んでもら うための努力をしていると思うが、国のいろいろな会議に出てはいるものの、そ のような視点というのが、少ないという風に感じている。情報セキュリティに関

(3)

しては、一般のメディアにはほとんど報道されないので、関心を持っている人に しか伝わらないという悲しさがある。このため、まずその視点を変えて、こちら から読んでもらえるようなものを作るという事が必要。何で読んでもらわなきゃ いけないかと言うと、国を信頼してもらわなければいけないからだ。国民各層に きちんと信頼されるためには、どこまで書けばいいのかではなくて、どう伝えれ ばいいのか、ちゃんと伝わっているか確認する、まずそこの所をやって欲しい。 

 

○  国民各層だけではなく、情報セキュリティの場合には、海外の政府機関などに 信頼性を持たれなければ、日本に重要な情報が入ってこないという事もあると思 うので、海外への公開をどうやっていくのかも重要。 

 

○  一般的に報告書と言った場合に、どのような目的で誰にするのかということが 重要。対象によって目的が違うので、当然内容も違ってくる。いろいろな種類が あり、見るほうの立場からは、いったい何やっているのかよくわからない、だか ら何をやっているかまず知りたい、というのが一つある。例えば、電子認証局と いうのがあるが、そこでは運用規程みたいなものが最初から決めてあり、その中 に監査もやるなどと書いてあり、ある程度、利害関係者に見せられるようになって おり、どんなことをやっているのか想像がつくようになっているので、考え方は参 考になるかもしれない。基準については、自分で決めたものと、認証局について は電子認証局用の Web トラストというアメリカとカナダの会計士協会が作ったも のがあるが、そこでやることがだいたい決まっていて、それに対して監査人がチ ェックし、検証して報告書を出す。報告書は、割と通り一遍のものになるが、ど のようなことをやっているかという細かいことは、もともと運用規程みたいなも のが公開されているのでわかる。 

 

○  数値目標については、ちゃんとやっている組織が評価されるようになってほし いという気持ちはある一方で、数値目標ということにあまり固執すると、数値目 標達成のためということにもなりかねず、そこを十分注意していかなければいけ ない。その方に走りすぎたら是正するなどといった工夫が必要。 

 

○  ベースラインをクリアしているかどうか、という話はもちろん報告書の大きな 柱として必要。あと、各組織のミッション・サイズはかなり違い、組織の大きさ だけで言っても桁が一桁二桁違うと言う具合になるので、同じものを単純にやり なさいというのではなく、目標とそれを実際にやって実施した結果のギャップと いうのが重要ではないか。何をやった、という単純な評価だけではまずい。 

 

○  セキュリティの費用は IT 予算の中に組み込まれていることが多いので、分離作 業は時間・コストがかかり、投資対効果は難しいと思う。ただし、数値ではなく て、どのようにがんばっているか、ということを書くだけでも投資対効果を表現 できるのではないか。 

(4)

 

○  経産省ベースのガイドラインでいいのかなと思いながらも、それに加えて、イ ンシデント分析に関しては少し注力したほうが良いだろう。報道もされているが、

今年個人情報の漏えいの事件があったが、中でちゃんと分析することにより、ノ ウハウがでてくる。それを、内部でちゃんと周知させるとか、他のところでも参 照してもらうとか、そうした説明責任をどう果たしていくとか、もちろんこれも 公開できるところは限定的だが、そこをちゃんとやっていくということが重要と 思う。その意味では、インシデント分析のところを、別冊などのようなイメージ で少し重く扱ってもいいのではないか。 

 

○  単なるやらされ仕事にならないようにするためには、目標設定を期初に行い、

期末に評価をすることが重要。年度のアクションの設定、各省庁にそこまで踏み 込んでもらうことも必要ではないか。 

 

○  継続してやると何らかの数値目標が見えるという話があったが、これが省庁に とって難しいのは、人事制度との関わりで 2 年すると人が変わるということ。工 夫として一つあるのは、組織全体の評価だけではなく、部門ごとの評価とかを分 けることが考えられる。過去に NISC が評価の範囲を徐々に広げていった経緯もあ り、そのような工夫は是非必要。 

 

○  情報セキュリティ報告書の要件、「誰が」「誰に」「何を」説明するのかと言 うのは、共通の認識をしておく必要がある。「誰が」というのは、政府機関とい うことで、「政府機関の長が」、ということを、皆、意識していると思うがどう か。それから「誰に」、というのは、例えば「広く国民に」、という話もあり、

また、役所の中で統一的にやる、あるいは政策会議等に報告する、という意味も あるだろう。つまり国民に説明するというのが主たる目的なのか、あるいは政府 の対策を確認するというのが目的で、その結果の差し障りない部分を国民にもき ちんと開示するということなのか。それによって「何を」になる部分が多少変わ ってくるのではないか。 

 

  →  今回の報告書は、基本計画にもあるが、国民の信頼確保のため説明責任を明 らかにするというのが大前提になっている。ただし、これは報告書だけを作る ということを、我々事務局が特に意図しているわけではない。それぞれの役所 の中の IT のガバナンスが十分成熟していないというところも見受けられるの で、報告書をつくる過程で、その役所の中の体制をしっかりして欲しいと思っ ている。報告書を作り、それを最高情報セキュリティ責任者が、報告をすると いうことになると、しっかりした体制をもって作るのではないか、そういうこ とも期待をしている。もちろん政府として国民に対しては、これから電子政府 のプロジェクトが進んでいく中で、「私の個人情報はちゃんと適切に扱われる のだろうか」、という観点を説明するにあたって、「このようなことをやって

(5)

いるから大丈夫です」、というのを公表する意味ももちろんあると思うが、そ の前提となる役所の中のいろいろな仕組みがうまく報告書を作る過程で作られ ていくということを、一つの期待効果として持っている部分はある。 

 

○  省庁にアドバイスしている立場から見ていると、やはり意識しているのは、国 民である。その途中経過として、政策会議とか、報道機関とかがあるが、最終的 には国民。あとは、海外も、少し意識した方がいいというのは委員の意見を聞い て思った。 

 

○ NISC がものすごく責任を持って、もう大丈夫だ、というところまでやるのであれ ば、おそらく国民は NISC の報告書を見ればいいというだけになるだろう。ただ し、現在、IT戦略の専門調査会でも議論されているが、行政が国民にどんどん 必要な情報を届けますよ、そのために情報を出してくださいというようなことを やる中で、国民から政府の情報セキュリティに対する信頼感がないと実現できな いということは、各委員にも理解いただきたい。このため、その辺も含めてどの ようにやっていくのか、という戦略が必要だろう。 

 

○ 民間では、情報セキュリティでトラブルがあると、監督官庁から、改善報告書を 求められるが、行政でそういうことに対してちゃんと対策・改善をしているか、

ということは国民に見えない。誰がどうやりもう大丈夫だ、というところは知ら せる必要があるので、そういうことも検討して欲しい。第2次基本計画のキーワ ードは、「事故前提社会」であり、事故が起きるということは前提であるが、そ ういうものにきちんと対処している、ということも見せて欲しい。単に体制が整 備されている、というだけで、国民は納得しないのではないか。 

 

○  経済産業省の企業版のセキュリティ報告書の中身が参考になるという話があっ たが、同じような内容を、政府の中を通して、国民に対して最終的には見せると いう形でまとめていくことによって、国民の期待に応えられるのではないかとい うのが、大きな考えとしてある。ただし、そのためには、情報そのものが見えな い中、それを守る情報セキュリティ対策というのは、国民の目から非常にわかり づらいということがあり、いかにそれを可視化し分かるような資料で国民に提示 するか、というところが一番大きなテーマになるだろう。そういう意味では、各 省庁の柱は何か、つまり、各省庁で情報セキュリティ対策というのはなぜやるの か、ということを、省庁が所管している中身との関係と併せて説明していかない と分かりづらいのではないか、あるいは、作る側の皆が参加して能動的にやって いくということにつながってくるということも難しいのではないか、ということ だろう。 

 

○  情報セキュリティ報告書は、マネジメントレベルと実務的な実際の対応をどう したのかという、その 2 点からなると思う。経済産業省のモデルもそういうこと

(6)

で枠組みは作られていると思うが、これは、官庁の場合でも同じだろう。その中 でも特に、大きく 2 つに分かれると思うが、紙の文書も含めて実務的な中で管理 する情報と、それから各省庁が持っている情報システム、その両方に関しての報 告の枠組みというのを、アウトプットできる形が必要ではないか。 

 

○  情報システムの方に限定した話だが、政府機関は、民間に比べ多くの場合で外 部委託をしているため、外部委託先の管理が、国としてどうなされているのか、

というところは、情報の管理という観点から、国民も含めて大きな関心はあるだ ろう。 

 

○  民間企業の場合、第三者評価は結構普及してきたが、政府機関にとって、第三 者評価みたいなものは、どういう風に導入すると効果があるとか、導入できるの かという観点もあろうかと思うが、いかがか。 

 

○  難しいとは思うが、自治体とかでは割と情報セキュリティ監査を外の業者に頼 むところがあり、政府機関でも一部はあるだろう。ただし、どこまで第三者に頼 むかというのは、事前に決めておかないといけないだろう。個別の入札の中身を みるといろんなものが入っており、どこまでやるのかという線引きは結構難しい。

このため、第三者に馴染む、あるいは、効果がありそうなところと、そうではな くセルフチェックで済むようなところを、出来るだけ分ける、あるいは、分ける ためのヒントとしてのガイドラインというのがあれば、さらに良くなるだろう。 

 

○  政府機関は、差はあると思うが、国家戦略とか政策を扱っているところなので、

狙われやすい立場にあると言える。このため、海外からネットを通じて、アタック されるところに一番関係する基盤の部分が、どんな状況なのかという、そう言う事 に対する説明責任という考え方はあるのではないか。 

 

○  社会にセキュリティ・レベルを上げるのを波及させる非常に大きなインパクトと して、調達要件の話がある。外部委託するときの条件、そういったものは必ず書く、

などということは有効だろう。 

 

○  評価の話としては、資料 7 のスライド 6・7 のような定量的評価で良いだろう。一 個一個のレベルがいくつという評価をあまり外に出しても仕方がない。ただし、こ こで注意したいのは、例えば、このスライド 6 の中でも、影響度が、ʻhigh impact ʼとか、スライド 7 の中では、例えば、POA&M というのがあるが、この辺りは結構 細かいスタンダードに基づいており、そういった充実も一方やっていかないと、各 省庁にポンと投げられてしまうと困るだろう。このため、報告書のガイドラインで はなく、それぞれの評価をどうするかというところのガイドラインを作ることによ って、合意形成が出来て、結果として、一定程度定量的な物が出来るのではないか。 

 

(7)

○  例えば今後予定される大規模システムなどに関しては、システム毎のセキュリテ ィ報告書があってもいいのではないか。また、逆に全政府というのが必要とも思っ た。資料7のスライド 6 や 7 にあるサマリー位だが、何%位やっていると言う、各 省庁を取りまとめた報告書、そう言ったものが、何らかの形で必要ではないか。 

 

○  公表する時に読み易くするためまとめる必要があるが、この時に注意しないとい けないのが、良さそうなところだけ外に出すということがないようにしなければな らない。国民の信頼を失うことがないよう、どこをピックアップするかというのを ある程度ルール化した方がいいという感じがする。 

 

  (12) 今後のスケジュール(予定)について      ○  事務局より資料 10 に沿って説明 

 

参照

今ダウンロードする ( PDF - 7 ページ - 29.12 KB )

関連したドキュメント

聖山アトスのアマルフィ人修道院

る、というのが、この時期のアマルフィ交易の基本的な枠組みになっていた(8)。

石 川

ヒュームがこのような表現をとるのは当然の ことながら、「人間は理性によって感情を支配

THE OMAGARI CHAMBER OF COMMERCE & INDUSTRY

わかりやすい解説により、今言われているデジタル化の変革と

資 料

Q7 

罪 法条競合と包括 論

となってしまうが故に︑

資料1-1

遮音壁の色については工夫する余地 があると思うが、一般的な工業製品

2020年度大阪手話言語条例シンポジウム

自然言語というのは、生得 な文法 があるということです。 生まれつき に、人 に わっている 力を って乳幼児が獲得できる言語だという え です。 語の それ自 も、 から

大学の知と社会の知

大村 その場合に、なぜ成り立たなくなったのか ということ、つまりあの図式でいうと基本的には S1 という 場