資料２

(1)

資料２

情報セキュリティ政策会議情報セキュリティ報告書専門委員会第３回会合議事要旨

１．日時

平成 21 年７月 27 日（月） 10 時 00 分～12 時 00 分

２．場所

内閣府本府地下１階講堂

３．出席者【委員】

大木榮二郎委員工学院大学教授

金子啓子委員パナソニック株式会社情報セキュリティ本部本部長喜入博委員金融庁情報化統括責任者（CIO）補佐官

高橋伸子委員生活経済ジャーナリスト

谷口博一委員有限責任監査法人トーマツパートナー

藤本正代委員富士ゼロックス株式会社マネジメントイノベーションオフィスシニアマネージャー

満塩尚史委員環境省情報化統括責任者（CIO）補佐官

（五十音順）

【政府】

内閣官房情報セキュリティセンター警察庁

総務省経済産業省防衛省

４．議事概要 (1) 自由討議

［第１部に係る自由討議］

○ 「基本情報」の「対象とする情報」だが、情報システム内に絡むようなものだけでいいのか。もう少し、国民の関心事となるようなものがあれば、そこもカバーしたらどうか。これは任意事項でもよいかもしれないが。大半のものが今は情報化されているから実質はカバーされているということかもしれないが、それならそれでそのことを書いてもらうと、国民の方を向いた報告書になると思う。

○ 「情報セキュリティ報告書の作成から公表までの手順」について、評価も一緒にし

(2)

たスケジュール感、例えば何を何月頃に大体やるなどが分かるようなものがあればよいと思う。

○ 任意項目の、「府省庁の行政事務従事者数又は定員数」について「又は」としている理由を補足説明してほしい。それから、「情報セキュリティ対策担当者の数又は業務平均経験年数」について、「及び」とした方が信頼性の上で良いのではないか。

→ 「行政事務従事者数又は定員数」は、行政事務従事者数が実際業務に携わっている方の数で、非常勤なども含まれる。このため、必ずしも定員数と実際働いている人の数が一致していない場合がある。特に、機微省庁については、実際働いている数をなかなか出せないといったような事情があると聞いているが、定員数については公表されている。このため、どちらかを書いて下さいということで「又は」としている。

「情報セキュリティ対策担当者の数又は」は、ご指摘のとおり「及び」の方が適切であるため修正する。

○ 元々の趣旨が府省庁の規模観を表すということだったので、両方書くということまでは求めなくてもよいのではないか。

○ 趣旨は分かった。ただ、もう一つ疑問が生じたのは、専従なのか兼務なのかということも質にかかわることだと思うが、これについて、この報告書で分かるような枠組みがあるのか教えて欲しい。

→ 勤務形態については、非常勤かフルタイムかなどいろいろな形があって、一律に管理している省庁ばかりではないため、その数字を正確に出すこと自体がかなり大変かと思う。この数字を精緻に求めることによって報告書を作ること自体の負担感が増すのも本末転倒かと思うので、大体のボリューム感を出すというところに留めたいと思う。もちろん、非常勤と情報セキュリティの関係が非常にクリティカルな状態にあるのだということを認識した省庁が、そういう付記をすることは差し支えないと思う。

○ 今後、見直しとかステップアップの課題としてテイクノートしてもらえたらと思う。

○ ガイドラインの改定手順など、全体の仕組みを、どうやって継続して改善していくのかというところは踏み込んでおくべき。情報セキュリティガバナンスを、実際に運用してみるとなかなか難しい点とか引っかかる点が出てくる。それらの課題に、こまめに対応することにより、各政府機関も頑張ってくれるのではないか。例えば、連絡会議が設置されるのであれば、その中でその辺も含めて意見をもらって反映して改善していくとか、いろいろな方法があると思う。

○ 「調達・外部委託」の留意事項の所に外部委託の適用範囲の例示がされているが、

媒体の廃棄業務の委託は適用範囲か。

(3)

→ 情報のライフサイクルでみているので、情報の廃棄は当然入る。媒体をどう処理しているかは外部委託の中で記述することも想定されるが、その分量まで数字を出すことは求めていない。

○ 外部委託の件で廃棄の話が出たが、ここの書き方は、外部委託の形態、種別で書かれており、お話の趣旨はどちらかというと、例えば紙の溶解は役務かサービスかといったものだと思うので、この種別の書き方だと難しいが、情報の廃棄に関するものも何か入れておいた方がよいと思う。

「報告の基本情報」の「対象とする組織」と、「セキュリティ対策の枠組み」の「情報セキュリティ対策に関する推進体制」について、事務局的な推進体制の他、地方支分部局云々など、セキュリティマネジメント体制自体の話というか、いわゆる統一基準に書かれている体制の話とクロスしている気がする。統一基準で書かれているセキュリティ体制、マネジメント体制をどこに書けばいいのか。書くのは基本情報かもしれないが、そこを峻別した方がよいと思う。

「作成から公表までの手順」で、最高情報セキュリティアドバイザー連絡会議においても比較評価を行い、その意見を踏まえということで、図も文章も書かれているが、

この書きぶりだとアドバイザー連絡会議で何らかの評価的な議論が行われて、自主的に見直しを行うと読める。例えば CIO 補佐官連絡会議のイメージからすると、最終的には助言を出すことできるが、アドバイザー連絡会議の方からも何らかの助言が出せる形も作っておいた方がよいと思う。

→ ご指摘の最後の点だが、最高情報セキュリティアドバイザーからの関与を確実にしようという意図で書いているので、そこがきちんと読める形に文言は修正したいと思う。それから最初の廃棄の件は、紙の場合メディアと情報を分離することが大変難しいわけであり、当然、溶解まで含めた部分が対象になると理解している。

○ 外部委託の留意事項について、ソフトウェア開発ほか、４つ書いてあるが、ネットワークの運用管理だとか運用業務の委託、ここはセキュリティ上、非常に大きいと思うが、そこが抜けている気がする。それから、留意事項の「営業品目」の用語がフィットしない。例えば「次に掲げる業務に該当するものを適用する」などの表現がよい。

○ 「障害・事故等報告」の留意事項について、「情報セキュリティに関する障害・事故等の範囲は大小があることから、原則として報道発表したものを対象とする」という表記になっているが、「報道発表したものを対象とするが、公表の方針及び観点を示すと同時に公表には至らないものについてもトラブルの発生とその対応状況について必要に応じて記載することが望ましい」とすると、信頼性が増すのではないかと思う。障害・事故報告がゼロということは基本的にありえなくて、小さいものはたくさんあるのだけど対処しているということになると思う。事故前提という観点から、そういう場合にはどう対処したのかをきちんと記載されるような書きぶりが望ましいと

(4)

思う。

○ いろいろな事故があるけども大きなリスクはないということが的確に国民に伝わるような表現ができればよいと思う。

○ 報道発表したものは必須、その他については自主的に頑張って下さいということだと思う。

○ 小さな事故もちゃんと把握できているというメッセージはあってもいいかと思う。

把握できる体制を省内できちんと持ってもらうためにも、外に結果を開示しないが小さな事故でも把握ができる体制があることを書いて、高橋委員のご提案の表現につなげてはどうかと思う。

→ 今いただいたご意見を踏まえ、修正案について事務局で作成し、できれば次回の会合の前にお示ししてご意見を頂戴できればと思う。

○ おおむね議論も出尽くしたところかと思うので、第一部についてはここで終了とさせていただく。

［第２部に係る自由討議］

○ 文章では実施率だけを ABCD 評価するとなっているが、サンプルでは把握率も ABCD になっているが、これはどちらか。

→ 事務局として揺れている所で、ABCD 評価の対象をどうしていくかというところも含めてご議論いただければと思う。

○ 評価を横に並べてみると、例えば B が多いところとか A だけだとか、そういう評価が見えてくると思うので、私はこれが重要だと思う。普通だと重点検査だけだとかマネジメント評価だけだとか、それぞれでしか見えないので、そういう意味では各省庁の通した評価をするべきだと思う。それ自体が評価の考え方の文章にないので、１～

３までの評価を並べて総合的な評価を行うみたいな記述があった方がよいと思う。

ベストプラクティス選定について、最高情報セキュリティアドバイザー連絡会議を重要視するのはよいが、実際の判断・指導をするのは最高情報セキュリティ責任者になるので、その辺の何らかの関与、そこで具体的に議論してもらうわけではないが、

何らかの報告なり、認識していただくプロセスは入れた方がよいと思う。

→ 評価としてのフレームワークの本質的な問題は、先ほど委員からの御意見もあったが、進化していくプロセスがないこと。最初に決めた項目から、そこだけで止まり固着化が起きるのではないかという心配がある。もう一つは評価項目がどんどん増えて

(5)

いくと負担になるが、みんな A になったら、それはもうオートマティックに調べられるようにして、もっと他のこともやらないといけないと考えないと。つまり、当たり前になったことの調査のコストを下げる方法が無い。例えば、先ほどの情報の廃棄についても、情報の廃棄の仕方を調べてベストプラクティスになったら、標準的にやれということになったら、その次はもう政府関係の発注ではこの標準でやってくれというのが入るとか。そういうようないくつかのエボリューションのプロセスを考えないと。役人はすぐ固着化するので、それを揺さぶって固着化しないようにする仕組みを第二部には書ききらないといけないということで、先日、事務局の皆さんと議論をして平行線上であるということだけは暴露しておく。

○ 本当に難しく、タイミングをどう読むのかがポイントになると思う。極端な話、「私どもの組織はそんなに重要視していないからやらなくていいのだ」という意志決定も認めていくかどうかというところに関わってくる。厳密に言えば、それを認めないと自主的に考えていることにはならない。では、今、全面的にその形に切り替えるのがよいかというと、少なくとも今のところまだ、そのタイミングではないのかなと思う。

したがって、継続して今までやってきたことを更に徹底するという方向性は残しておく方がいいと思う。確かに、固着化を防ぐには、自主的にやるという体質を育てる仕掛けを組み込む必要があると思うが、そういった意味でベストプラクティスに注目してもらい、それを互いに真似をして、段々、全体が良くなるというような流れができるとよい。さらにそれを民間企業も参考にして、日本全体がよくなるというのが理想的だ。その意味で、お忙しいとは思うが、CISO の方々が集まって話をするのは、かなりインパクトがあってよいと思う。

○ 評価が３つあって、１番２番はこれまでの継続性だと思うが、特定の対策の状況を把握することになっていて、今回の情報セキュリティ報告書自体についてどうかということに直接触れていない。したがってベストプラクティスの所をもう少し拡張して、

むしろ報告書そのものから分かる、成熟度というか、各省庁の取組のメカニズムとか体制とかが、この報告書からどう受け止められて、というような全体の評価があって、

その中の一つにベストプラクティスを取り上げるというような構造にすると、これからの進化みたいなものも含めながら評価が全体的にできる枠組みにならないかと思う。そういう意味で評価の考え方の全体をどう構成するのかというのが、今議論している中身になると思う。

○ 発展段階で何を見るのか違ってくると思う。また、毎年見直すことをどこかプログラムしておくというのはあると思う。リスクで見るなら、ここの部署には機密性の低いものしかなくて、それを守るのにこれだけ費用が掛かるから、ここについては当面受容するなどということを本当に CISO が言って報告書に入れていくことができるのかというところになると思う。更に、どうやってコストパフォーマンスを測るのか、ROI を測るのか、が示せればよい。掛かる費用は把握できるけれどリスクがどれだけ減るかをどう測るのか、このやり方がなかなかなくて、民間でもみんな困っている。

(6)

○ 多分、成熟度とベースラインとが結びついているはず。統一基準は少しずつ底が上がっていくのが前提になっている。今は割と初期の段階なので、とりあえずここまで頑張ろうというので比べているところだが、リスクの評価をして、どこまでリスクを取っているのか、どこまでお金や手間を掛けるのかというところが、今はあまりはっきりしていない。ある程度成熟すると任意の所とかで自分の組織に合ったやり方、リスクの取り方をおそらく決めていける。そうなってくると本来の形に近づく。組織の状況によっては、これは必須と書いてあるけれど、どうもいらないのかもしれませんということが場合によっては少しずつ出てくるかもしれない。それはもう少し先か。

統一基準とか評価基準とか報告書の書き方とか、その辺の全体のフレームワークの中で考えていかないといけないのかなと思っている。民間企業だと割と単純な話で、自分の所の利益とステークホルダーに対してどう変わっていくということだけで結構決めやすい。ところが政府機関の場合は非常に難しい。いろいろなものが絡んでなかなかこれがいいと決断が難しいので、民間企業のように単純にリスクどこまで取るかと言えるかどうか分からないが、考え方としては共通する部分があると考えている。

○ ベースラインはリスクによってやらなくてもいいというメッセージが少しでも入ると、徹底が難しいという場面もあると思う。いろいろ難しい問題が絡んでいる気がする。

○ あるリスクを低減するために必要な対策は、単独で実施するとは限らず組合せになっている場合も考えられる。対策を組み合わせてベースライン（が意図しているセキュリティレベル）を維持することが前提。ベースラインを否定しているわけではない。

○ 評価をどう構成するかという考え方は大きく分けると、一つは過去との継続性を重点として評価軸を設定しようという軸、もう一つは進化というものを評価の中にどう入れていくか。この二つで評価軸の考え方を構成しようというのは、おおむね皆さんの意思統一できたかと思うが、進化をどう図るかというところがまだ少し漠然としている。

○ 事前に米国のセキュリティ対策のパフォーマンスメジャメントというのを見ていたが、将来的な理想としては、それぞれの対策、個別に KPI・KGI を設定して評価していくというのが一番良い。１の自己点検の対策実施状況報告と２の重点点検と３のベストプラクティスの選定、これをどう位置づけるかと考えたが、統一基準はだんだんレベルが上がっていくので、１の対策実施状況報告に関しては上下する可能性がある。要は、統一基準が上がっていくと、ある意味下がってしまう評価がある。重点点検が今実際に中身としては、端末とウェブとメールサーバとなっているので、ここの中身の項目が変わるのだろう。ここ何年かは、端末とウェブとメールを重点的にやっていて、結果として A になってきた。そうすると、今後は自動的にやるような方向で考えましょうとなると思う。難しいのは、ベストプラクティスで、例えば、重点点検でやっているところを一

(7)

歩踏み出してやっていると位置付けたら、ベストプラクティスは 1.5 歩先の本当の先端事例をみるのか、それとも、そこの１歩に届く前の 0.5 歩のところのベストプラクティスなのかという位置づけは、難しいと思う。それによって、ベストプラクティスの位置付けが変わってくる。0.5 歩であれば 1 歩にいくためのやり方なので、ベストプラクティスを重ねることによって、段々重点点検でやっている検査項目の中身が充実してきて、

オートマティックにいきますよという話なのか、それとも、1 歩の先、1.5 歩先にいっていますよというところだとすると、重点点検の結果との関連が難しいと思う。ある意味、

ベストプラクティスは、0.5 歩の方が本当はいいと思う。そこは種別して、ベストプラクティスの選定をしなければいけないと思う。それによって、重点点検項目を今まさにここ３年ぐらいでやらないといけないこと、というふうに項目を、変えていくことによって、エボリューションとか進化してくというイメージにできるのかと思う。

オートマティックにやるという話に関しては、まさに IT のアーキテクチャ、政府の IT のアーキテクチャとの整理・整合をしなければいけない。例えば各省で、こういうシステムを使っている場合は、これは自動的にできています。パスワードの変更も、自動的に通知するようになっています。というのであれば、ある程度はできているわけで、

そういうところは IT のアーキテクチャとの整理をしなければいけない。そこは、この場だけではなくて、電子政府デザインされている方々と整理をしていかないと駄目だと思う。

インシデントの評価が、定性的でも良いのであってもよい。全府省庁としての兆候という意味での統計的なデータは、公表レベルなら絶対とれると思う。

○ 時系列の変化みたいなものを評価の中から、何らかの形で把握ができる仕組みも必要。

インシデントについても確かに組み込んでおく必要がある。

○ 百分率を ABCD で色塗りしているが、本来は 100％でなければいけない。青、緑、黄色、

赤という色表示を見る限りでは、B が緑で良いのかなという印象を持った。というのは、

緑というのはセーフカラーで、安全という位置付けで、色をつけているように思う。電子政府を標榜する政府機関としては、A が当たり前であって、B の所は、それこそもっと進化しなければいけないと促されるものでないと。例えば、企業の信用の格付けならば、

B というのが B+なのか、B-なのかということでものすごく大きな違いがある。ここを 80 から 99 が一つの色で示されてしまうので、ここについて、例えば NISC がもう少し中間の段階で、きめ細かく判断を示すというようなことができれば、進化した評価という形ができるのではないかと思う。

○ 評価の色塗りについては、これまでの継続性という観点からこういった青、緑、黄色、

赤とさせていただいているところ。ご主旨は、80 なのか 99 なのかで、大分違うだろう、

ここをもうちょっときめ細かにすべきだという理解でよろしいか。

○ そのようにするということと、緑は、満足のものではないのだと、この色の与えるイメージが、とりあえず緑の枠に入っていれば良いというような印象を与えてしまうとい

(8)

けないので、何か工夫が必要ではないかという、２つの意味。

○ 一番最初に作ったときにどのような進化モデルを考えたかというと、まず、横並びにして評価をするのは、役所にとっては、絶対にやって欲しくないことなので、それをやれば、大競争するのはわかっていた。それから、基準の設計はどうしたかというと、全員が 100％はとれない。だから、各省庁は B と C に暮らさせるところで設計をして、そこを維持しながら、統一基準を早めにグレードアップしていくことによって、各省を追い込んでいこうというのが、一番最初の設計思想。ところが、役所には 100 点取らないと死んじゃうと思っている人が山のようにいたおかげで、統一基準のアップデートに対してのストップがすごくかかった。要するに、できないことを基準にして要求するのはそもそもおかしいから、できるようにするまで待ってくれと、100％を取りにいかすということで、最初の 2006 年ぐらいに大抵抗があって、今のこの状況になって、みんなが A 取れて時々B がいて、安心している。今から我々がやるべきことは何かというと、進化というのは、それをどう揺さぶって、ちゃんともう一回真面目に考えさせること。今のこの端末やウェブとかは、もう入り口も入り口で、そこを 80％から 100％の間を精緻化するのではなくて、本当は全体のインデックスをもっと上に押し上げていくためのメカニズムを組み込まないと上手くいかないのではないかというのが、先ほどの進化のコメントとも繋がっている。インデックス側をいじるという委員の意図も分かるが、そっちをやるくらいなら、全体をもうちょっと上に上げてくためのエンジンを強化した方が良いのではないかと思う。

○ 例えば、重点点検の端末とかサーバの話は、ここ３、４年やっているが、インパクトがあったのは最初の年だけ。なぜかというと、C とか D があったから。それで、結構ハッパがかかった所があり、今は A に上がって来ている。その意味では、重点点検項目をどうやって変えていくかという話になるかと思う。重点点検は３年ぐらいしたら 100 点になるように、戦略的にやっていいと思う。そういう意味では、重点点検の項目の選び方が難しいと思う。

○ 今回の評価の考え方の第１に継続性というのがある。その継続性について、何を継続して、何を付け加えていけば良いのかを確定させた方が良いと思う。２番目は、この重点検査というものは、政府の重点施策を支えるコントロールを点検するというふうな理解でよいか、事務局の考えを伺いたい。

○ 我々として、今ここがウィークポイントである、あるいはこの部分を特に強化したいというメッセージを出していくのが、重点検査だと考えている。それもあり、特にサーバのコントロール、マネジメントがきちんとできているかというところについて、最近メッセージを出している。

○ １番目の対策実施状況報告は、政府統一基準の実施状況を点検する、評価する。２番目の重点点検は、政府の重点施策の実施状況を点検すると理解した。では、進化をどの

(9)

ように組み込んでいくか、議論を続けたい。

○ 第２部の評価の考え方と第１部との関連性を明確にする必要があると思う。評価の考え方の「目的」と「位置付け」では、情報セキュリティ報告書に基づいて評価をすると記載されているが、情報セキュリティ報告書の具体的にどの部分に基づいて評価するのかということがはっきりしていない。３つの評価の内の１番目の対策実施状況報告ところは、5.1「省庁対策基準に関する自己点検結果」の所が相当して、２番目の重点検査は、

5.2「情報システムごとの状況」が相当するかと思うが、そこの繋がりが１部と２部との間で無く、１部の方を読み込まないと、２部との関係が分からないと感じた。

そうして見ると、5.1、5.2 以外の所の情報セキュリティ報告書、あるいは情報セキュリティ対策に関する評価はどうなのか。情報セキュリティ報告書全体を評価するとしたら、重点検査を今の３つの項目以外で何かなくてはいけないかなと思う。それはプラクティスの所なのか。

ベストプラクティスの選定の対象は、例えば、5.3 の教育で良かった所はここだとか、

あるいは監査で良かった所はここだとか、あるいは 5.4 の外部委託に関してはここだったのかという個別の事項ごとの評価をしてベストプラクティスを選定するのか、あるいは報告書全体を評価して、その中でベストプラクティスを１省庁、選定するのか。ベストプラクティスの選定の(1)の目的にあるように、政府機関全体としての情報セキュリティマネジメント水準の向上を図るという観点からすると、多分、教育はここが良かったと、あるいは監査はここが良かったと、そのようなとらえ方として、ベストプラクティスを挙げた方がよいと思う。この省庁は全体の No.1 だったというのは、全体の底上げ、

水準向上にはあまり役に立たないのではないかと思う。

重点検査の項目は時期的にいつぐらいにはっきりさせるのか。全体のスケジュール感の話にもなるが、それとの整合性があって、いつ重点検査項目が提示され、１年間各省が対策して、後で評価がされるといったサイクルは、多分予算要求の関係もあり、組織変更もあるので、それらを考慮したスケジュール感は明示する必要があると思う。

○ ベストプラクティスは報告書全体の記載項目が対象となるが、例えば、体制とか教育など個別対策ごとに選定していくことになると思う。

１部と２部の関係が明確になっていないという御指摘はごもっともだと思うので、１部・２部、あるいは統一基準との関係について、進化するプロセスも含めながら、どのようにこのガイドラインあるいは報告書が改善していくのか、という点ももう少しクリアに書き込む形にできればと思う。

スケジュール感についても、御指摘のとおりなので、先ほどのチャートの中に、月をきちんと書き込む形にしたいと思う。

それから、ベストプラクティスは 0.5 歩先なのか 1.5 歩先なのかという御指摘があったが、むしろ 0.5 歩進むことによって、隣の省庁ではできているのに、なんでうちはできていないんだ、それを取り入れていないんだという説明責任が生じるようなレベルのものをベストプラクティスにすることに意味があるのではないかと思う。そういうこともあるので、今回、特に最高情報セキュリティのアドバイザー会議で、一種のピュアレ

(10)

ビューみたいな形でベストプラクティスを選定する、要するに隣でできていて、うちの参考になりそうだというのを挙げていただくことに意味があるのではないかと思っている。

○ ベストプラクティスとして選んだもので、それが本当に横展開したほうが良いなら、

次の重点検査の項目にするなり、報告書の中での必須項目に入れて、別にできてなければできてないと書いてくれば良くて、それを本当に横に完全に展開したら、それはもう、

統一基準の中の必須項目に変えるというような、評価の活用をどうするのかということが、最終的に第２部のドキュメントの最後に書かれて、このドキュメントで書いてあること自身の PDCA のサイクルのワークがちゃんと入っていれば、丸じゃないかと思う。最後のフィードバックをどこに戻して、どこが変わっていくかを、このドキュメントにどう書けるか、統一基準までのフィードバックなのか、ガイドラインのフィードバックなのか、評価のやり方を変えるのか、そこだと思う。

○ 第１部と第２部の関係を明確にし、第１部の報告書に色々書いた内容から、この部分とこの部分に対してこういう評価をするのが過去からの継続的な評価部分であり、さらに今後も進化を含めたいろいろな評価をするのが、ベストプラクティスだったり、新たに評価項目として加える部分であるみたいなことが分かるような構成にすると、全体がうまくまとまるような気がした。

○ 対策実施状況報告の(2)評価の中で「また、遵守事項毎の評価結果に基づき、当該年度の課題及び改善した昨年度の課題について記載する。」とあるが、当該年度とは過去のことを言っているのか、それとも例えば、21 年度に評価をし終わったら、22 年度としての課題と言っているが分かりにくい。これは、第１部ガイドラインの中では、5.1(3)総評の所で、書かれていることが転記されるという理解か。というのは、次回の改善があれば、ベストプラクティスの原点の方にもかなり話が近づいてくるので、どちらかで整理すべきか思う。

○ 御指摘の当該年度の課題というのは、調査というか、チェックをした年度に抽出された課題という理解。

○ ベストプラクティスが次の検査項目になるというふうに、廻っていくには、大分、プロセスが途中抜けている。つまり、各省庁で他省庁のプラクティスを参考に、自分達のプロセスの中に組み込んでいくことをどうやっていくのかがよく見えないので、そのあたりは、例えば政府統一基準の中に組み込まれていけば、各省庁に確実に浸透していく。

そういうふうになるかどうかということの判定が、ベストプラクティスの選定の時に必要だという理解でよいか。

○ それは未調整の部分なので、どうするかは、決めれば良いこと。美しいストーリーで言えば、ベストプラクティスを自分たちで選んで、それが自分達の評価に自主的に採用

(11)

されてくというのが、民主的でね、かっこいい。動けばいいが。NISC が拾い上げて、統一基準でやれというのが、各省庁からの抵抗感が高いやり方。どっちが実効性あるかは、

見させていただくというところがある。今回の評価のフレームワークで一番重要な所は、

今までやらされ感が強かったので、各省庁は自分の問題として、主体的に問題を意識しなさいと、言っているところ。そこを押すのであれば美しいストーリーで行ってみるのも手かなと思う。ただ、すぐに安定になるようではいけないので、暴力装置はどこかにキープしておかないといけないなという想いはある。

○ 魅力的なベストプラクティスをどうやって出せるようになるか、それがあれば真似するかと思う。そこが、非常に難しいが、民間企業でも、情報セキュリティの取り組みの新しいアイデアを出す人というのは、喜々としてコンファレンスに出かけたり、ハッカーの雑誌を読んだり、そういう人達。新しい工夫を生み出せないと、それが本当に真似をしたいベストプラクティスということにならないので、いつまで経っても、強制ということになってしまい、そこを何とか打破したいとずっと考えている。やはり、上手く褒めたり、賞賛したりする仕組みがあると良いと思う。相互に参考になるものを各省庁で実際に取り組んでいる方々が選抜するというのは、なかなか良いアイデアだと思う。

○ 情報システムの作り方として、いろいろなやり方あると思うが、４、５年見てきて思うのは、政府の中にはほとんどアーリーアダプターがいないこと。すごいチャレンジングなシステムを作っていく人はいません、多分。本当の意味で、民間のアーリーアダプターが生み出すベストプラクティスという所まで行くのかというと、多分、行かないと思っている。ベストプラクティスの選定は、いろいろ縛られ、前任が作ってきた美しい姿をいかに維持するかというところに全力を尽くしている役人集団の中で、１mm でも良いから前へ出ようという人はいるので、これを褒めようというのがベストプラクティスという仕掛け。世の中でいうアーリーアダプター達が頑張るような、チャレンジングなベストプラクティスは、ほぼ無いと思って、このドキュメントを読んだ方が精神的には楽になれると思う。夢を持っては駄目です。多分、ラストカミングカスタマーなのです。

政府の中の情報システムをみていると、私が大学で作っている情報システムの方がよっぽどチャレンジングで、周りの人に迷惑をかけて作っている。やはり、それは政府の中では無いと思います。アーリーアダプターとしてのベストプラクティスを見いだしていくという役割をここに見いだすよりも、がんじがらめの中で、0.5 歩、0.1 歩くらいだと私は思っていますが、それでも良いから、褒めて、それを横展開できるなら良いのかなというのが、今までやってきたベストプラクティスのフレームワーク。

○ この評価結果は、最終的に国民に開示されるので、その中に各省庁が自主的に取り組んで欲しいベストプラクティス、0.5 歩のベストプラクティスが書かれて、各省庁に取り組みを促すみたいな文章が入るのか。それと同時に、セキュリティ報告書の中から出てきた改善を促すようなメッセージも、併せて中に、情報が書き込まれると良いかと思う。第１部と第２部との関係を、うまく整合性をとっていけたら良いと思う。

(12)

○ 今回はトライアルだと思うが、全体評価のスキーム自体の PDCA、見直しというものを、

是非報告書全体として入れて欲しいと思う。PDCA を見直しするとかそういった簡単な言葉になると思うが、少しキーワードとして、置いて欲しいと思う。

○ 第２部の目的は、報告書なりで国民にちゃんと伝えるための定量化をベースに考えてきたが、どちらかというと説明責任とは多少切り離した形で、NISC として入手できるものを使いながら全体を眺めてどう評価をして、次の PDCA の A に使おうかという意味だと、

そのような理解よいか。

○ その理解で、間違いない。もちろん国民への説明責任を政府全体として果たすという役割も含まれています。

○ そういう意味では、「目的」の第１パラグラフの「各府省庁が作成した情報セキュリティ報告書の定量的評価」という表現が誤解を招くと思うので、書き方、主旨を、もう少しわかりやすくした方が良いと思う。この委員会での議論の初めの段階で、報告書の表現のきれいさなどの評価かと誤解した議論もあったくらいだ。むしろ、NISC の政策立案に主眼があって、入手する経路として共通のチェックリストと、報告書で書かれている活動内容からトータルに政府としてのセキュリティの状況を評価して、フィードバックをする。そういうものが第２部だと整理した方がわかりやすく、我々も考えるのにあたって、考えやすいと思う。次回出す草稿もそのあたりも整備されてくることを期待する。

○ NISC は各府省に対して選定されたベストプラクティスを周知するとか、「各府省に対して」ということを明確に書いているが、やはり各府省がより褒めて欲しいのは国民からではないかと思う。したがって、ここの所にも何らの公表をという言葉を付け加えた方が良いのではないかと思う。

以上