« 国民ID制度 3年以内に導入??? | Main | 内閣官房 IE6からのブラウザ移行に係る取組について »

2010.06.16

内閣官房 パブコメ セキュア・ジャパン2010(仮称)

 こんにちは、丸山満彦です。内閣官房(NISC)が「セキュア・ジャパン2010(仮称)」についての意見募集をしていますね。。。

 
■NISC
・2010.06.15 「セキュア・ジャパン2010(仮称)」(案)に関する意見の募集 

「セキュア・ジャパン2010(仮称)」(案)


目次
=====
I はじめに
II 具体的な取組
1 大規模サイバー攻撃事態への対処態勢の整備等
 (1) 対処態勢の整備
 (2) 平素からの情報収集・共有体制の構築強化

2 新たな環境変化に対応した情報セキュリティ政策の強化
 (1) 国民生活を守る情報セキュリティ基盤の強化
  ① 政府機関等の基盤強化
  ② 重要インフラの基盤強化
  ③ その他の基盤強化
  ④ 内閣官房情報セキュリティセンターの機能強化
 (2) 国民・利用者保護の強化
  ① 普及・啓発活動の充実・強化
  ② 情報セキュリティ安心窓口(仮称)の検討
  ③ 個人情報保護の推進
  ④ サイバー犯罪に対する態勢の強化
 (3) 国際連携の強化
  ① 米国、ASEAN、欧州等との連携強化(二国間、ASEAN との関係強化)
  ② APEC、ARF、ITU、MERIDIAN、IWWN 等国際会合を活用した情報共有体制等の強化
  ③ NISC の窓口機能の強化
 (4) 技術戦略の推進等
  ① 情報セキュリティ関連の研究開発の戦略的推進等
  ② 情報セキュリティ人材の育成
  ③ 情報セキュリティガバナンスの確立
 (5) 情報セキュリティに関する制度整備
  ① サイバー空間の安全性・信頼性を向上させる制度の検討等
  ② 各国の情報セキュリティ制度の比較検討
=====

|

« 国民ID制度 3年以内に導入??? | Main | 内閣官房 IE6からのブラウザ移行に係る取組について »

Comments

大規模サイバー攻撃事態という概念がはいって、やっと、事件前提社会という言葉が消えたのでよかったですね。
(ボット以降も、事件前提といっていたというのは、やっぱりまずかったでしょう-見えていなかったということですそね)

事態という言葉を使う以上は、周辺事態などとの連携も考えましょうとか。じつは、そういう論点もあるのですが、NISCとナショナルセキュリティの管轄にかかるだけに難しかったりします。(では、周辺国へのサイバー攻撃は、周辺事態法の適用の契機となるのかとかね)

韓国やグルジア・エストニアの大規模攻撃の分析は、セキュリティウォーズ・エピソード2でどうぞと。
http://technet.microsoft.com/ja-jp/security/ff720102.aspx

Posted by: 高橋郁夫 | 2010.06.16 09:49

丸山 様

夏井です。

「(4) 技術戦略の推進等」のところに「情報セキュリティガバナンスの確立」が入っているのは根本的な間違いですね。

逆でしょ。(笑)

Posted by: 夏井高人 | 2010.06.17 18:06

高橋先生、コメントありがとうございます。
大規模サイバー攻撃の可能性はありますね。。。国だけで対応しようとしてもだめでしょうね。
 物理的なセキュリティの分野では、X国のA社を攻撃する場合には必ず、X国の国土をとおるので必ずわかります。でもインターネットの場合はX国政府とA社というのは並列関係になっていますよね。なので、サイバー攻撃というのは、官民連携でないといけない。。。つまり政府が攻撃された時の情報は民間にも流れないといけないのではないかと思いますね。。。このあたりは、物理的なセキュリティとの違いかも。。。

夏井先生、コメントありがとうございます。
 国としての推進として、企業の情報セキュリティガバナンスを確立・・・ということなのでしょう。 
 しかし、政府主導で業界団体が一致団結して推進するという規格品大量生産的な高度成長期モデルははやらないのではないかと思っています。
 政府がいつまでも日本の頭脳として機能したがり、業界団体がいつまでも政府に頼るという社会主義的、全体主義的な発想から抜け出す必要があるのでしょうね。。。

Posted by: 丸山満彦 | 2010.06.18 17:51

丸山 様

夏井です。

技術戦略は,ガバナンスの中のごく一部を構成するパーツに過ぎません。情報セキュリティにおいて技術的対応が可能な対象は限定されていますし,対応可能な対象についての効果もまた限定的です。

ガバナンスのほうが大きな枠組みであり,技術はそのパーツの一つに過ぎない以上,集合関係(論理関係)の把握が最初から間違っていますね。

これでは大規模サイバー攻撃に対する対応をまとめる大綱(基本方針)としては,最初から零点しかつけることができません。パブリックコメントの募集をしてよいレベルのものにまで成熟した文書ではないです。

ちょっと厳しい言い方をすれば,ちゃんと理解できている人が日本政府には一人もいないということを世界に対して自ら証明してしまうようなとても恥ずかしい文書です。全面撤回し,人事刷新の上で最初から全部やり直すべきだと思います。

つらつら考えてみると,良くてもせいぜい機甲師団長レベル程度の人が軍の総司令官のような立場で行動してしまっているからおかしなことになってしまうのだろうと思います。

Posted by: 夏井高人 | 2010.06.18 18:57

夏井先生、コメントありがとうございます。
=====
ガバナンスのほうが大きな枠組みであり,技術はそのパーツの一つに過ぎない
=====
おっしゃる通りですね。ガバナンスが技術の一部というのはおかしな話ですね。。。

Posted by: 丸山満彦 | 2010.06.18 23:28

丸山様 おはようございます。

同じようなことは日本だけではなく,どの国にもあるかもしれません。民主的に選出された為政者が能力のある者である確率は逆に低いので(国民の人気をとる才能のある人がそれ以外の能力においても長けているという確率は一般に低いです。かつては軍事的な天才のような人が皇帝や君主などの地位につくことがありましたが,それは物理力でもって国土を守り拡張する必要性が強く,それなしにはそもそも統制ができなかった時代の出来事です。),仕方のない面はあります。しかし,ものごとの本筋のようなものを理解できる能力のある人が上に立っていない時代の国民は,本当は悲惨な状態の下に置かれているんですよね。

ちなみに,私のサイバー法ブログで記事を紹介しておきましたが,米国のeパスポートに関する問題などもこのような文脈の中の出来事の一つとして理解することが可能かもしれません。eパスポートそれ自体の技術的安全性をいくら力説してみたところで,その製造場所や製造プロセスなどを含め,開発~製造~利用・運用~廃棄までの全体としての安全性というものが確保されているのでなければ何の意味もないですね。しかも,この文脈で最も重要なのは,意外と人的要素や政治的要素なのであり,技術的要素ではありません。

一般に,技術的要素を重視し過ぎた情報セキュリティ対策では,ソーシャルエンジニアリングに対して逆に脆弱性をもってしまうといわれています。これもそのような例証の一つとして理解することが可能かもしれません。

これだけ技術が発達し,専門分野が細かく分かれている時代なので,一人の人間がどの分野にも精通することは無理かもしれないし,蛸壺的な専門知識をもった人々の集合体として組織を構成せざるを得ないということは否定できません。しかし,蛸壺の集合体は,単に蛸壺が多数存在しているというだけのことであり,組織ではありません。組織を統括する人間は,全体のガバナンスをするための十分な資質と経験を有している必要があります。多数の蛸壺の統括者なんですから。ところが,そのような資質と経験を有している人をトップに据え,必要な権限を与えるということをしないから,結局,全体としてぜんぜん駄目な政策しか構築できなくなってしまうんですよ。

常に,自分の能力を過信することなく,自己を過大に評価することなく,傲慢になることなく,そして,天から与えられた「分」のようなものを十分にわきまえて判断し行動しないと駄目です。

とはいえ,現実には,どうしようもない小者であり,歴史に名を残す可能性など皆無なのに,権力欲だけ旺盛な者が横行しているし,鼻っぱしらだけは誰よりも強くなければ,政治的的に成功する可能性が低いということも偽らざる事実なので,どうにもならない面はありますが・・・

Posted by: 夏井高人 | 2010.06.19 08:11

夏井先生、コメントありがとうございます。
=====
常に,自分の能力を過信することなく,自己を過大に評価することなく,傲慢になることなく,そして,天から与えられた「分」のようなものを十分にわきまえて判断し行動しないと駄目です。
=====

話は本題からはそれてしまいますが、「天から与えられた「分」のようなもの」をわきまえるということは重要だと思いますね。
 残念ながら人間の能力には限界があるし、その限界は人によって異なるのが現実というものでしょう。
 私は今からどんなにトレーニングをしたって、100メートルを10秒未満で走ることはできないだろうし、裁判官にだってなれないと思っています。
 「己を知る」ということが重要ですね。その上で自分ができる範囲で社会のためにどう貢献できるかを考えて行動する。そういうことだと思っています。
 自然に接しているとそういう考え方におのずからなってくるのではないかと思います。
 自然をコントロールしようというのは、ある意味人間の欲ですが、ある程度までは確かにコントロールができるが、一定の範囲を超えるとコントロールできない。自然の力というのは人間の力をはるかに超えるものだから仕方ありません。(エネルギーの量という問題も含めて)。
 なので、自然に接している人は人間の分、己の分というものを意識せざるを得ず、自然とできる範囲のことできっちりしていこうと思うのだろうと思います。
 まぁ、自然に接するという状態を100%完璧にするのは難しいとは思いますが、そういうところを目指していこうということは重要かと思います。
 

Posted by: 丸山満彦 | 2010.06.22 07:27

丸山 様

夏井です。

東京の中のオフィスで,ごく少数の人々と接し,黙々と仕事をする毎日を送っていると,優秀な人に限って傲慢になってしまう危険性があると思います。優秀な人材は,世間にそうそう多く存在するわけではないので,当然,狭い周囲の同僚や部下や上司や友人・知人などが馬鹿に見えてしまうことがあるのでしょうね。でも,それは,かなり狭い部分社会の中でのみ相対的にそうであるかもしれないということなのであり,絶対値ではないです。

自分の「分」を知るためには,超越的な存在や超越的な世界を知らないと駄目です。

帰宅してから天体望遠鏡ではるかかなたの恒星や流星を探すのもよし,顕微鏡で微生物を観察するもよし,とにかくとてつもなくマクロな世界や極端にミクロな世界を知ったとたんに,自分の小ささというものを知ることができます。

私の場合,全世界に原種だけで2万5000種以上あるといわれているラン科植物の中の何種類かを栽培しているだけです。しかし,現実に栽培し,その多様性を認識する毎日を重ねるだけで,自分の思想や思考がいかに単調でつまらないものであるかを実感させられます。そして,野生ランの自生地を求め,更に天高く感ずる高山の稜線を歩いたり,湿った大気に包まれながら山地の森林や渓流を散策したり,水源の噴出に感激したり,荒涼とした砂漠地や礫地を迷い歩いたり,泥んこになりながら湿地の中をはいずりまわったりしている間に,人間というものがいかにか弱く無力な存在であるのかを知ることができました。これからも,しばらくはそうやっているでしょう。

かつて,日本には山岳信仰というものがありました。もしかすると,もともとはチベットあたりから伝来したものかもしれません。山にこもって修行を重ねていた人々は,山や自然そのものに神や仏の存在を感じ取っていたのでしょう。それは,宗教上の行為だったかもしれませんが,しかし,人間の小ささを知るという面では同じだったと思います。

そして,人間が小さいのと同様,太陽系を構成する惑星だって全銀河の中ではゴミのような存在だということも知ることができます。

そういうことを積み重ねながら,感情論ではなく,本質論として,個々の「生」の貴重さというものを知ることができます。

これまでの日本の教育は単調すぎました。

今後は,メジャーとマイナーの両方をもつような方向に行くべきです。

理系に進んだ人は,文学や法学などをマイナーとして専攻すべきです。また,文系に進んだ人は,数学や植物学などをマイナーとして専攻すべきです。そして,社会人になっても,自分の本体的な職業や仕事とはおよそ無関係そうな趣味や副業などをもつべきでしょう。

趣味だと自分に言い聞かせながら,仕事の延長上にある接待ゴルフの練習だけでは,あまりも悲しすぎます。

とりわけ,人の上にたつ人は,自分の「分」というものを明瞭に自覚すべきだろうと思います。

Posted by: 夏井高人 | 2010.06.22 08:48

>サイバー攻撃というのは、官民連携でないといけない

では、具体的に指令・防御という制服の文化と、ネットワーク管理者のTシャツ文化がどう一致するのよというのが、将来の議論になるだろうと思っています。

理論的には、外部不経済の問題になっているので、ネットワーク管理者がきちんと透明性ある防衛活動を積極的におこなうことができるような制度設計が必要になるでしょう。

具体的には、この点については、ゲリラ戦のフィールドマニュアルを参考に、サイバーに置き換えるべきなんだろうということになりそうです。古き良き時代のネットワークとはまったく別物ですが、現実のほうが先にいってますね。


Posted by: 高橋郁夫 | 2010.06.25 01:16

高橋先生、コメントありがとうございます。
制服文化とTシャツ文化、わかりやすい(笑)。

おっしゃる通りですね。担当する人というのは、制服文化の中にあってもTシャツ文化に、Tシャツ文化の中にあっても制服文化にそれぞれ近づいて両文化の懸け橋になるような仕組みが必要ですね。相当タフな状況に置かれることは想像されます。
でも、それを乗り越えられないと防御はできないと思いますね。
(政府=>民間の情報流通がおこなわれなくなりますからね。。。)
 

外部不経済の問題も重要ですね。
(民間=>政府の情報流通に関係しますね)

本国だけでなく、国際連携の問題もあるので、さらに検討すべき課題はいろいろとありますよね。。。

ブログのコメント欄で結論がでるような問題ではないのでしょう。テクノロジーの問題というよりも、政策、マネジメントの側面が大きいので、検討する際にはそのようなことを考慮して人選し、検討するのがよいのだろうと思います。。。

Posted by: 丸山満彦 | 2010.06.26 10:15

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 内閣官房 パブコメ セキュア・ジャパン2010(仮称):

« 国民ID制度 3年以内に導入??? | Main | 内閣官房 IE6からのブラウザ移行に係る取組について »