総務省 パブコメ 電気通信事業における情報セキュリティマネジメント指針(案)
こんにちは、丸山満彦です。総務省が「電気通信事業における情報セキュリティマネジメント指針(案)」についての意見募集をしていますね。
■総務省
・2005.12.14 電気通信事業における情報セキュリティマネジメント指針(案)に対する意見募集
総務省(電子政府)
・2005.12.14 電気通信事業における情報セキュリティマネジメント指針(案)に対する意見募集
・電気通信事業における情報セキュリティマネジメント指針(案)
・電気通信事業における情報セキュリティマネジメント指針(案)概要
パブリックコメントのDDoS攻撃か・・・
ISO/IEC17799の電気通信事業者版ということで差分が記載されていますね。
このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。
Comments
> パブリックコメントのDDoS攻撃か・・・
思わず笑ってしまいました。
ほんとに最近多すぎて目を通しきれません・・・。
Posted by: uzen | 2005.12.16 13:39
> パブリックコメントのDDoS攻撃か・・・
私も大笑いしてしまいました。
ただ笑ってばかりもいられなくて、どれも今後のビジネスに大きな影響を与えるものが多いので、真剣に考えないといけませんね。
幸い、お正月明けの締め切りのものが多いので、正月ボケ防止には役立ちそうですが(^^;
Posted by: 240 | 2005.12.16 23:36
UZENさん、240さん、コメントありがとうございます。
そうなんですよ、いろんな省庁から情報セキュリティに関連するパブリックコメントがでてきて・・・。
Posted by: 丸山満彦 | 2005.12.17 10:20
丸山 様
夏井です。
私もあちこちの審議会や委員会などに引っ張り込まれてしまっておりますが,それにしても日本国におけるこの分野の人材の層の浅さには唖然としてしまいます。
特に情報セキュリティに関しては,基本的に理系だけでやってきたツケが一気にまわってきているという感が強いです。情報セキュリティが理系だけのものと考えるような前時代的な発想は,完全に徹底的に払拭されなければなりません。
例えば,電子的な攻撃ではなく,爆弾や人手による破壊工作などの物理的攻撃,サボタージュなどの人為的なインシデント,あるいは,大規模災害のような非人為的なインシデントに対する対応ついては基本的に理系だけの問題ではないですね。しかし,そうした人的要因のほうが実は非常に可能性が高いだけでなく結果も重大ではないかと思います。このことは,個人情報流出事件の実際をみてもわかります。技術によって対応できる部分もあるけれども,技術によって対応できない部分に対する対策を考えることが大事だし,技術による防御が崩壊してしまった場合でも1秒でも早く復旧したり非電子的な方法で応急措置を講ずることのできるような対応策が事前に講じられていることが重要です。技術的な対応の多くは電力供給がなければ「無」になってしまいますから,電力供給が全くない環境でも機能するような方策を考える必要もあります。
また,ビジネスの関係では,コンプライアンスの重要性をもっと強調しなければならないし,とりわけ背任,横領,粉飾などを防止するための対応策を徹底しなければなりません。
このことをみても情報セキュリティにとって必要なヒューマンリソースの半分は文系の人間でなければならず,とりわけ実務に精通した法律家と公認会計士の重要性が高いというべきだろうと思います。
よくご存知のとおり,さらに大きな視野で考えなければならない重要課題が山積しております。
これまで「専門家」と呼ばれながら実は何の能力もなく,微塵の想像力や好奇心もない人々がさぼっていた部分または漫然と無責任に放置していた部分を大至急解決しなければなりません。関連する審議会のメンバーなども根本から大規模に入れ替えないととても追いつかないだろうと思います。少なくとも情報技術と関連法制のイロハも分からない委員はどんどん排除してしまうべきなのでしょうね。
来年も今年以上にパブリックコメントの嵐が吹き荒れそうです。(苦笑)
Posted by: 夏井高人 | 2005.12.18 09:12
夏井先生、コメントありがとうございます。先生が回答しなければならないものもいくつかありそうですね。
さて、情報セキュリティ問題ですが・・・
情報セキュリティの確保は人類の最終的な目的ではないですよね。例えば、安心して生活をしたいという目的のための一つの手段。技術的な対策というのも、安心して生活をしたいという目的のための一つの手段としての情報セキュリティを確保することを目的とした場合の一つの手段(ややこし・・・)。
目新しいから面白い。でも、全体から見ればほんの小さな部分集合。
本当に重要な部分だって今までサボっていたおかげで解決できていないのに、目新しい(けどおそらくそれほど重要ではない)ものばかりに注目して考えてもしかたがない。
また、技術的欠陥に対する対策だって、技術的対策よりも、人的、組織的対策がまずあって、それを機能させるために初めて技術的対策が必要となる場合が多いのに、技術的対策の重要性ばかりが強調される。そんな意識で技術的対策をしても、人的な面の問題で機能しない(例えば、設定ミスなど)。
セキュリティマネジメントが重要といいながらも、結局セキュリティマネジメントの重要性は、技術的対策を導入するための呼び水に過ぎず、マネジメントの部分を真剣に議論していない。
コンプライアンスの話。情報セキュリティ以外の分野からこの分野に入ってしまった私の最初の違和感は、IT系な人の法律に対する意識の薄さ。コンプライアンスの重要性を説明するところから始まった。今でこそ、法律の話が当然に出てくるのですけどね。。。2000年ごろはそうでもなかったなぁ・・・。特にネット系な人。ネット社会にいれば治外法権と思っているような人もいたなぁ・・・。そこまでいかなくても、法律なんかまったく興味がなくて知らない。そんな意識の人がソフトウェアやシステムを組んでいたような(今でもか・・・)。
専門家の話。
中立的な肩書きを持ちながら、特定団体に利益誘導する専門家がいるように思う。得てしてそういう人は、国家・国民にとって正しい選択枝を選択するとめの論点や、その論点を解決するため正しい情報を提供できない。そういうつながりで委員になっているので、専門能力はほとんどない。本当のところは専門能力が高いとしても、倫理面の問題でその専門能力が発揮できない。そして、付けは国民が負担することになる。
ほとんど1年終わりですね・・・
Posted by: 丸山満彦 | 2005.12.18 11:06