内閣官房 セキュリティ文化専門委員会報告書と技術戦略専門委員会報告書
こんにちは、丸山満彦です。内閣官房情報セキュリティセンター(NISC)から、セキュリティ文化専門委員会報告書及び技術戦略専門委員会報告書が公開されましたね。
■内閣官房情報セキュリティセンター
・2005.11.17 報道発表 セキュリティ文化専門委員会及び技術戦略専門委員会の報告書の正式決定・公表について
● セキュリティ文化専門委員会報告書
・概要
・本体
●技術戦略専門委員会報告書
・概要
・本体
●セキュリティ文化・・・
=====
1. 企業・個人の情報セキュリティ対策に係る現状認識
(1) 背景
(2) 進むべき方向
2. 企業・個人の情報セキュリティ問題の所在
(1) 関係する主体の整理と留意点
(2) 企業・個人の情報セキュリティ対策強化に係る問題の所在
(3) メディアに期待される役割と問題の所在
(4) 基盤形成に係る問題の所在
3. 企業・個人の情報セキュリティ問題の解決の方向性と具体的方策
(1) 解決の方向性と具体的方策
(2) 今後さらに検討すべき課題
=====
=====
各主体のセキュリティに関する理解と役割分担の調整に基づき構築される、常識、マナーあうりは社会的慣習を「セキュリティ文化」と定義し、セキュリティ文化醸成の大前提となる、企業・個人が「何のために情報セキュリティ対策を行うのか」という点についての共通認識を形成するにはどうしたらよいかということについて議論
=====
したようですね。
OECDの情報セキュリティ原則の「民主主義の原則」が重要ということのようです。(インターネットのドメインも米国ではなく、民主主義の原則に基づいて管理されていくことになるのでしょうか・・・。そんな議論ではないですね。すみません。)
つらつらと読んでいると・・・どうしてもリスクの定量化が気になるようですね。。。
この報告書はおもしろいです。
●技術・・・
=====
1. 情報セキュリティ技術戦略を考える上での基本的な考え方1.1 これまでの情報セキュリティ技術の開発モデル
1.2 これまでの情報セキュリティ技術の社会展開プロセス
1.3 社会基盤としてのITにおける情報セキュリティ問題
1.4 環境整備の必要性
2. 情報セキュリティ技術の研究開発・技術開発を推進するための新しい構造のあり方
2.1 投資領域設定の継続的見直し構造の実現
2.2 成果利用までを見据えた研究開発・技術開発の実施体制の構築
3. 情報セキュリティ技術開発の重点化と環境整備のあり方
3.1 情報セキュリティ技術の高度化及び組織・人間系管理手法の高度化を実現するための具体的な方向性
3.2 情報セキュリティ技術を支える環境整備
4. 「グランドチャレンジ型」研究開発・技術開発の推進
4.1 「グランドチャレンジ型」研究開発・技術開発とは
4.2 情報セキュリティ領域における「グランドチャレンジ型」研究開発・技術開発の実施
=====
1年先、3年先ではなく、10年先の可能性を含めたある意味遊びのような研究が必要なのかも知れません(情報セキュリティ分野だけでないですが・・・)ね。
デジタルフォレンジックの定義らしきものが書いていますね。
=====
不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や操作に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称。
=====
じっくり読んでみましょう。
さて、後は、重要インフラですね。
【参考:メディア】
●ITPro
・2005.11.17 「情報セキュリティは文化と技術の両面から」---政策会議の専門委員会が検討成果を発表
●ITmedia
・2005.11.18 セキュリティ対策が「当たり前のこと」になる環境を――政府の専門委員会が提言
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
セキュリティ文化というのは、むしろ、「一定の社会において何が良いとかんがられ、また、何が悪いと考えられるのかという点についての一定の合意やその構築のためのシステム」という意味での「文化」なんでしょうね。
(マネジメント論で、企業文化というのと同じ感じ)ですから、もしかすると「風土」に近いかもしれません。一定の合意・慣習をといってしまうと、人間の行動の規定という目的的なものがよくででこないような気がしますね。
この委員会にリスク管理や経営学の専門家がいるとまったく視点が変わったかもしれません。この言葉が、経営学において深く検討されているという論点を感じとれるかどうかというのも、これまた、文化のなせるわざですね。
Posted by: ミスターIT | 2005.11.18 09:36
丸山 様
夏井です。
「デジタルフォレンジック」の定義が狭すぎて間違っていますね。司法省や国防総省の担当官などを含む米国の専門家がその英訳を読んだら,全員首をひねると思います(←情報セキュリティしかやっていない人は何も疑問を感じないかもしれませんが・・・)。
私は,この分野に属する内外の書籍をすべて買いあさって読みまくる毎日のような感じの日々をずっと送っております。そのような書籍の記述や定義などからしでも,上記の定義は,完全に肯定可能な定義ではないと思います。
きっと,デジタルフォレンジックの専門家が存在しない状況で報告書の原案がまとめられたのでしょう。
あるいは,世界に全く通用しなくてもかまわないから日本独自バージョンの政策を策定しようという国家政策でもあるのでしょうか?(笑)
さて,OECDの「Culture of Security」ですが,技術系の人でも暗号しかやっていない人には全く理解できない概念かもしれません。日本では「暗号学だけが情報セキュリティだ」みたいな妙な雰囲気がずっと支配していたので,そうした全体的な学問風土それ自体も「セキュリティの文化」を理解する阻害要因になっているのでしょう。
また,普通の文化人のような人がこの概念を自己流のとらえ方だけで振り回すのは非常に危険なことだと思っています。
国際協調を特に強調したいわけではないですが,この分野は日本国独自の考え方や理解の仕方や感じ方などだけでやっていては絶対に失敗するので,報告書全体について根本から再考したほうがよいと思います。
私は,この報告書を評価できません。
Posted by: 夏井高人 | 2005.11.18 11:12
ミスターITさん、コメントありがとうございます。
=====
「風土」に近いかもしれません。一定の合意・慣習をといってしまうと、人間の行動の規定という目的的なものがよくででこないような気がしますね。
=====
規範性について言おうとしているので、風土というよりも、文化(culture)ですかね、やっぱり・・・。まぁ、明確に区分するのも難しいのかもしれませんが・・・
セキュリティを維持するという方向性を持ったセキュリティ風土を熟成させるためには、セキュリティの話ばかりしていてもだめですね。おりに触れて、ちょっとずつでもよいので、常にそれを意識させる仕組みが必要となります。
そういう意味では、熟成していくものですから、抗生物質打ったら直るって感じではなくて、漢方薬のように長く飲んでいると効いてくる・・・みたいな、そんな感じで進めるしかないと思っています。
大阪弁でいうと、ぼちぼちって感じですかね(笑)・・・。
だらだらではなくて、方向づけられていて、構成メンバーに働きかけるものなんですよね。。。
Posted by: 丸山満彦 | 2005.11.18 20:29
夏井先生、コメントありがとうございます。またまた過激なコメントですね・・・。こういう発言はWelcomeです!!
論理的であり、個人への誹謗中傷でなければ、正論と思うことを書いていただけるとうれしいですね。これが議論の始まりですよね。
ところで、セキュリティ文化の報告書・・・実は私も良くわからないんです(あっ・・・言っちゃった・・・)。
みんな、もっとセキュリティに気を配ってよ・・・ってことがいいたいのかなぁ・・・
書いている人はほとんどみんな良く知っている人なんですけどね・・・。
Posted by: 丸山満彦 | 2005.11.18 21:21
夏井先生
>「デジタルフォレンジック」の定義が狭すぎて間違っていますね。
定義というのは、土俵みたいなものなので、別に間違っているというもんでもないような気がしますけど。
たしかに、フォレンジックが、民間ベースでうごいてきて、内部統制のためのアラームとかにも使われていますし、また、もっと広く行くと、Digital Warfareまで含むものだというのもあります。
まあ、そこら辺の話は、フォレンジックの予算のもとでやろうと国防予算の枠で研究しようと予算さえつけば、どちらでもという感じですけどね。
Digital WarにおけるSelf Defenseの法的限界なんてのも、フォレンジックスに含めてもいいですよ。
Posted by: ミスターIT | 2005.11.19 09:17
丸山さん
>ところで、セキュリティ文化の報告書・・・実は私も良くわからないんです(あっ・・・言っちゃった・・・)。
報告書のかわりに、原則をきちんときめるとかのほうが「文化」構築には、有効だというのが、経営学の知識じゃないでしたっけ。
構成員にそのミッションと原則の浸透を図るために、標語募集をするとかもいいのではないかと。報告書もそっちの手法を提案すべきだったと思ってます。
Posted by: ミスターIT | 2005.11.19 09:24
ミスターITさん、コメントありがとうございます。
方向性を決めるためには、原則(Principals)を決めることが重要ですね。
それがOECDのprincipalsです。
次に原則を周知させ、理解させ、行動させるための方針、計画を立案することになります。
周知という意味では標語などもよいでしょうね。
方向性がないと、何を何のためにどのように・・・という具体的なものが見えてこないですよね・・・って思います。
Posted by: 丸山満彦 | 2005.11.19 14:20