« 経済産業省 パブコメ 「ITサービス継続ガイドライン(案)」 | Main | 個人情報保護法 ガイドラインの共通化 »

2008.07.04

総務省 確定 次世代の情報セキュリティ政策に関する研究会報告書

 こんにちは、丸山満彦です。総務省が「次世代の情報セキュリティ政策に関する研究会報告書」を公表していますね。。。

 
【総務省】
・2008.07.03 次世代の情報セキュリティ政策に関する研究会報告書の公表
・・次世代の情報セキュリティ政策に関する研究会報告書
・・報告書のポイント

・2007.10.18 「次世代の情報セキュリティ政策に関する研究会」の開催
・2008.04.04 次世代の情報セキュリティ政策に関する研究会中間報告書の公表及び意見募集
研究会の開催状況等  


【電子政府】
・2008.07.04 次世代の情報セキュリティ政策に関する研究会中間報告書に関する意見募集の結果


 ↓こういうこと・・・ですかね。。。
=====
①【昨今のICT環境における情報セキュリティ脅威】
◆ マルウェア感染手法等の巧妙化・高度化
◆ 利用者は、ボット等によって踏み台にされると、被害者となると同時に加害者となる可能性 など

②【近い将来(3-5年度)のICT環境の変化】
◆ 情報家電等、様々な情報通信機器がネットワークに接続、利用者も増加
 →数の爆発的増大
◆ 様々なICTサービスが提供
 →流通する情報の種類、量が増加
◆ OS等のソフトウェアの共通化、通信経路の多様化等により、被害が広域化する可能性
◆ 新技術の導入により、想定していない脅威が発生する可能性 など


①+②から

◆ 引き続き、利用者による情報セキュリティ対策の徹底が必要
◆ 一方で、利用者個人にすべての対策を委ねるのも難しい
 →「永遠のビギナー」の存在
   ※「永遠のビギナー」とは、情報セキュリティ対策に対する意識やスキルが必ずしも高くないと考えられる利用者

↓(だから)

 国、電気通信事業者、サービス提供事業者、機器製造事業者等、全ての関係者が連携した情報セキュリティ対策を強化することが必要

↓(具体的には・・・)

○利用者を取り巻く環境における情報セキュリティ対策の徹底
(電気通信事業者)
・利用者が無意識にマルウェアを配布するサイト等にアクセスすることによるマルウェア感染を未然に防止するため、信頼性の高い「危険なWebサイトに関するリスト」(レピュテーション・データベース)の構築・運営方法を実証し、当該データベースを利用した効果的な感染予防対策を検討
・電気通信事業者が取り得る情報セキュリティ対策等の行動規範の明確化について、諸外国の状況を踏まえながら、引き続き検討
(政府等)
利用者における対策徹底に向けた、継続的な普及啓発
(その他)
マルウェア感染等により不具合が生じた場合に、迅速に対処するためのユーザサポート体制の充実

○業界横断的な検討体制の整備
電気通信事業者、サービス提供事業者、端末機器製造・販売事業者、情報セキュリティ対策ベンダ等が業界横断的に参加し、情報セキュリティ脅威等に関する情報共有、連携した対策の検討等を継続的に実施する体制を整備
=====

【参考】
■このブログ
・2008.04.06 総務省 パブコメ 次世代の情報セキュリティ政策に関する研究会中間報告書に係る意見募集
 
・2008.06.22 経済産業省 産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ~企業における戦略的な情報セキュリティガバナンスの確立に向けて
・2008.06.19 内閣官房 パブコメ 「次期情報セキュリティ基本計画に向けた第1次提言」
・2008.05.09 経済産業省 パブコメ 産業構造審議会情報セキュリティ基本問題委員会 中間とりまとめ(案)~企業における戦略的な情報セキュリティガバナンスの確立に向けて~
・2008.04.23 内閣官房 パブコメ 「セキュア・ジャパン2008」(案)


■山口英先生の取材記事
・編集長インタビュー: 内閣官房情報セキュリティセンター 情報セキュリティ補佐官 山口英 (日経コミュニケーション)
【前編】セキュリティの周辺環境が激変,時代に即した政策が必要 (日経 IT Pro, 取材日 4/30)
【後編】企業はセキュリティ強化と競争力強化の両立を目指せ (日経 IT Pro, 取材日 4/30)
=====
●残る個人はどうか。
 現在コンピュータ・セキュリティに詳しい人間が詳しくない人間を食い物にしている構図がある。こうした状況に対して,規制すればよいと考える人たちがいるが,それには反対だ。規制をすると国民が豊かになるチャンスをつぶしてしまう。
 むしろ,新しい技術が出てきた際に,リスクへの知識をしっかりと持ちながら,新技術を積極的に活用して,仕事を効率化したり,新しいコンピューティング社会を楽しんだりする強い個人を生み出す政策を採るべきだ。そのためには,情報セキュリティの知識を向上させる教育が必要になる。
 情報セキュリティを学校で教えれば済むものではない。新しいコンピューティング技術は,社会人もお年寄りも使うため,底上げが必要になる。全員が確かな知識を基にコンピュータを使えば,おのずと社会コストも下がる。
 官僚たちは「国民を教育する」とい言おうものなら,マスコミにたたかれると恐れているが,本当にそれでいいのか。こうした議論をしないと,次の一歩を踏み出せない。
=====

 永遠のビギナーに対しては永遠の教育が必要ですね。。。

規制は自由な競争を阻み活力をそぐ可能性が高いのでできるだけ規制はないほうがよいと思っています。そういう規制をしなくてもよいように底上げというのは重要ですね。これは全ての分野で同じですよね。。。


|

« 経済産業省 パブコメ 「ITサービス継続ガイドライン(案)」 | Main | 個人情報保護法 ガイドラインの共通化 »

Comments

ご紹介ありがとうございます。

>電気通信事業者が取り得る情報セキュリティ対策等の行
>動規範の明確化について、諸外国の状況を踏まえなが
>ら、引き続き検討

はい。通信の秘密の数奇な運命ロジェクトがこのような形で、報告書に示唆をあたえることができたとすれば、本当にうれしいです。

しかも海外調査につながるとすれば、また、どこかいけるかなと。

ただ、この報告書の一番のポイントは、たぶん、「もはやセキュリティは、大衆インターネット社会の現実を前提に考えないと解決しないねというビィジョンを明らかにした」というか、根本的な問題意識のもとにネットセキュリティのパラダイムの転換(事後対応から事前防衛への転換)をベースにしていることだろうと思っています。

パラダイムの転換があたっていれば、何年かのちには、この報告書は、まさにその転換を「預言」していたねと歴史が証明してくれることになるかもしれません。

Posted by: 高橋郁夫 | 2008.07.04 at 11:25

高橋先生、コメントありがとうございます。

 読みましたで。。。セキュリティ対策については、事前対策の重要性が最初は強調されていたと思っています。しかし、それでは不十分で、事後対策にも光を当てるという方向に流れになり、そして、再び事前対策でも不十分な分野に光を当てていこうということになるのだろうと思います。はじめはあちこちに問題があっても、目立つところから対策がとられていきますよね。で、それが概ね片付いてきたら今までめだっていなかった部分が目立つようになる、あるいは新しい問題がでてくる・・・ということの繰り返しなのだろうと。。。
 ということで、鉄道にしても航空機にしてもいつまでも事前、事後の対策がとられていっているのだろうと思います。。。ということで、これからも続くんでしょうね。。。

Posted by: 丸山満彦 | 2008.07.06 at 10:54

>それが概ね片付いてきたら今までめだっていなかった部分が目
>立つようになる、あるいは新しい問題がでてくる・・・という
>ことの繰り返しなのだろうと。。。

これは、脅威の根本原理が変わっていないときの話ですね。なので、ちょっと意見としては、違いますね。

しかしながら、すでに脅威の根本原理が変わってきているので、対応自体も根本から認識を変えるべきという話だろうと思います。
あと、5年後に振り返ってみたときに、ボットネット(いわば、クローン軍団)というのが、セキュリティの概念の転換点になっていたということになりそうだなと思っています。

(マスターヨーダは、「これが勝利なものか。ダークサイドの衣が落ちた。クローンの戦争が始まったのだ!」 (ジオノーシスの戦い後)と預言されておられます。-ISACAの9月に発表させてもらいますね)

Posted by: 高橋郁夫 | 2008.07.06 at 16:09

高橋先生、コメントありがとうございます。なるほどなるほど。。。ISACAの9月の月例会が楽しみですね。。。

Posted by: 丸山満彦 | 2008.07.06 at 19:58

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/41731119

Listed below are links to weblogs that reference 総務省 確定 次世代の情報セキュリティ政策に関する研究会報告書:

« 経済産業省 パブコメ 「ITサービス継続ガイドライン(案)」 | Main | 個人情報保護法 ガイドラインの共通化 »