Business & Economic Review 2002年09月号
【STUDIES】
わが国企業における情報セキュリティの現状と課題
2002年08月25日 星貴子
要約
- ネットワークのオープン化、インタラクティブなネットビジネスなど企業におけるI T(情報技術)の利用が進展するのに伴い、不正アクセスやウイルス感染による被害が急増している。
最近では、サービス妨害、他人のIDやパスワードの不正利用、情報の漏洩・改ざんなどの悪質なコンピュータ侵害が増加していることに加え、企業関係者による侵害行為の発生も広がりをみせるなど、侵害被害はより一層深刻化している。ネットビジネスが拡大するなか、ネット上での取引の安全性・信頼性に対する懸念が強まり、情報セキュリティ対策の必要性が一段と増している。 - こうした情勢下、海外、とりわけ、アメリカでは、2001年9月11日の同時多発テロを機に、情報セキュリティリスクに対する警戒感が強まり、セキュリティ対策を強化する動きが加速している。これに対し、わが国では、情報セキュリティに対する関心は高まりつつあるものの、これまでのところ、セキュリティポリシーや専従の管理・運用組織を有する企業が少数にとどまるなど、欧米諸国に比べ、その取り組みは必ずしも十分とはいえない。
しかしながら、ITが企業活動に浸透するなか、コンピュータ侵害被害が一段と増大し、企業経営が深刻なダメージを被る危険性が増していることから、情報セキュリティに対する本格的な取り組みは焦眉の急である。 - このような状況を受け、わが国政府は、情報セキュリティを「e-Japan 重点計画」の柱の一つに位置づけ、a.制度・基盤の整備、b.民間部門の情報セキュリティ対策の普及、c.人材育成などを、セキュリティの向上に向けた重要項目として掲げ、2001年度以降、具体的な施策の実行に乗り出している。これまでに、情報セキュリティに関する指針を策定したのをはじめ、セキュリティ対策の評価認証制度を導入したほか、情報セキュリティに関する人材の育成を目的とした新たな国家資格を創設した。
このほか、暗号化技術やサイバー攻撃の対処手法といったセキュリティ関連技術が官民共同で研究されているうえ、コンピュータ侵害に関する各国警察関係機関との協力体制の構築などが検討されている段階である。 - しかしながら、わが国の情報セキュリティ政策は緒についたばかりであるうえ、政策内容をみても、a.機動的な政策実行に関する体制が総じて十分でない、b.施策が民間のニーズと必ずしも一致していない、c.即効性に欠ける、といった課題を抱えており、情報セキュリティレベルを向上させるには、必ずしも効果的であるとはいえない。 本稿では、これら課題を踏まえ、わが国企業の情報セキュリティレベルを一段と向上させる施策として、次の4項目の取り組みについて提言する。
第1は、情報セキュリティ対応組織・体制の拡充である。情報セキュリティ政策の効果を高め、機動的に実施するためには、行政機関のみならず、民間企業を含んだ情報セキュリティ対応システムの構築は焦眉の急であることから、官公庁、各業界団体、NPO(特定非営利活動法人)からなる「情報セキュリティ対応ネットワーク」、すなわち国家規模の情報セキュリティ対応組織および同ネットワークの構築を提案する。
第2は、情報セキュリティに関する情報提供システムの拡充である。上記の「情報セキュリティ対応ネットワーク」を活用した情報の収集および提供システムの構築を具体策の一つとして提案する。このほか、国内外企業などの被害例に基づいた具体的な情報、例えば、侵害手法、その侵害を可能とした背景・原因、被害規模、侵害に対する措置といった情報やコンピュータ侵害が企業活動や経済全体に及ぼす影響に関する調査・研究報告書を随時公表するなど、提供する情報の拡充も必要である。
第3は、セキュリティシステム構築に対する支援の強化である。具体的には、a.十分な専門スタッフやノウハウを有さない企業でも自社に応じたセキュリティシステムが構築できることを目的としたセキュリティシステムモデルや、b.企業が情報セキュリティ対策をアウトソーシングする際の目安となる業者のセキュリティサービスに関するレベル基準など、システム構築に関する指針を作成することが必要であろう。
第4は、専門家の育成および企業における情報セキュリティ教育の推進である。専門家の育成については、a.専門学校や大学などの高等教育機関での社会人教育において、情報セキュリティに関する専門カリキュラムを拡充する、b.NPOや業界団体主導での社会人教育を推進するため、これら組織の育成事業に対する支援策を強化する、などが有効策である。このほか、教育訓練給付金制度を拡充し、これらの社会人教育コースの受講を支援することも方策の一つである。企業における情報セキュリティ教育の具体策としては、関連機関やNPOを通じ、a.情報セキュリティ教育に関するコンサルティングを実施する、b.最新技術・知識を取り入れた教育プログラムを作成し、e- Learningなどにより普及させる、などである。