情報処理学会ホームに戻る
最終更新日:2009年1月15日

内閣官房情報セキュリティセンター(NISC)への意見書

 

 

 
このたび本会では、内閣官房情報セキュリティセンター(NISC)に対し、以下の通り2009年1月13日に意見書を提出いたしましたのでご報告いたします。

会長 佐々木 元

「第2次情報セキュリティ基本計画」(案)に対する意見書
「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)に対する意見書
「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)に対する意見書


「第2次情報セキュリティ基本計画」(案)について

社団法人情報処理学会
会長 佐々木 元

  • POC(Point of Contact)について
     どの分野で、どのような立場で振舞うことを意図しているのかが明確にされていない。例えば、情報セキュリティ政策に関するPOC機能(P62)のPOCとは何を意図しているのだろうか。先導者という意図なのか、諸外国の対応窓口になることを意図しているのか。用語に振り回されることなく、役割について明記すべきであると考える。

  • POCについて
     サービス主体者だけではなく、大学や個人的なサイトや小さな企業においてはそのPOCが徹底していないところが多くあるように思う。それらに対しての指導の役割は必要でないだろうか。

  • 国家レベルのCERT(P62)とあるが、CERTは、cert.orgの登録商標である。国家であろうが、企業であろうが、情報セキュリティのインデント対応という意図であるならば、CSIRTという表記を利用すべきである。

  • 個人への情報セキュリティ教育の強化・推進
     児童・生徒の居ない家庭や高齢者などに対しても、学校の枠にとらわれない教育・啓発を推進することも必要ではないか。携帯持ち込み禁止といったリスクをすべて排除するのではなく、リスクを認識し適切に対処できるスキルを養うための教育を推進してもらいたい。

  • 『個人分野では、第1次基本計画の下、「政府は、2009年度初めには、「IT利用に不安を感じる」とする個人を限りなくゼロにすることを目指」し、取組みを進めてきた。しかし、例えば、インターネット利用に不安があるとする個人は4割を越えている(図6参照)。』(p. 14)『(イ) 個人の底上げに向けたより効果的な普及・啓発活動の実現個人の底上げに向け、周知・啓発活動を、関係府省庁が更に連携し、より効果的に実施できるような取組みを進めていく。また、ITに関して必ずしも詳しくない個人を含めた一般利用者のセキュリティレベルを効果的に上げるために、質問への適切なアドバイスや訪問対応を行えるサポータの育成、地域団体ネットワークの実現を促進する。』ITに関して必ずしも詳しくない個人を含めた一般利用者のセキュリティレベルを上げなければいけないということは、「IT利用に不安を感じる」をゼロにつなげることはできないのではないか。ITに関して必ずしも詳しくない個人を含めた一般利用者のセキュリティレベルをあげなくてもよい、技術面や制度面の仕組みを整備することを考えることが必要に思われる。

  • 事故前提社会を仮定した(p. 27)について
     現状の観察や課題の抽出は的確だが、それに対する対策が不明確である。具体的な対策案が望まれる。

  • 「重要インフラ」について
     基本計画書の中では定義が明確でなく、行動計画書まで読まないと何を指すのか不明確。国や状況によって違うのだろうが、政策として重点を置くのはどこなのか絞れないものだろうか。

  • 「IPV6化(p. 51)」は政府に言われなくても勝手に進むと思われる。
     V6にしてもセキュリティはなくならないのでは。

  • 「政府機関への成りすまし(p. 51)」について
     GPKIの話題が出ていないのが不十分である。フィッシングがあれだけ進んでいる中で証明書を用いたメールの交換もそれほど進んでいないし、e-TaxなどのGPKIの証明書が現状の商用のものとあまりにかけ離れていて普及が進んでいないことにも触れるべきかと思う。

  • 「政府機関への成りすまし防止」
     発送する電子メールに電子署名を付与したとしても、政府機関を騙ったメールを無くすことはできない。受け取る側の不注意と責任を転嫁するように感じる。根本的な解決策を検討する必要があるのではないか。

  • 情報セキュリティ人材の育成・確保
     情報セキュリティのスキルは、問題が起きなくてあたりまえ、起きたら責めを問われるというように、プラス的な評価を受けにくいところがある。モチベーションを高める取り組み、(育成側と被育成側双方に対する)インセンティブ制度といった、関係者がプラス思考になるような施策を推進してもらいたい。

  • 情報セキュリティセンター等で収集した障害情報/事例分析結果は、その成果の検証/評価と周知徹底ならびに広く再発防止を図るために、情報の公開と共有が必要と考える。

  • 「2012年の姿」−「対策実施4領域」−「企業」について
     「企業における情報セキュリティ対策の実施状況を世界トップクラスの水準にすること」を掲げている。その野心的な姿勢を評価したい。これを現実のものとするため、「世界トップクラスの水準」の定義を明確にする必要がある。現状では、リファレンスとする国・その状況、評価基準等が明らかになっていない。

  • 「情報セキュリティガバナンスの経営の一環としての認識の定着」を掲げているが、現行の情勢を見るに、とくに昨今の世界的景気後退によって、セキュリティ対策が投資縮小の対象になりがちである。2012年までに「財務統制等と並ぶ経営上の重要な要素となっている」という状況を実現するには、政府が、これまで以上に、民間企業への適切な指導、投資喚起を行ってゆく必要を感じる。

  • 「2012年の姿」−「横断的な情報セキュリティ基盤」−「情報セキュリティ技術戦略の推進」について
      「設計段階からセキュリティを作りこむ開発手法の普及と定義」が挙げられている。情報セキュリティについては、アドホックな対策、ピンポイントな対策が行われており、製品・システム全体を包括的に守る対策になっていない場合がある。何のための対策であるかを起点とするセキュリティ設計の重要性に着目した点を評価したい。
     情報セキュリティ技術の発展は、これまで個別のテクノロジーの発展であった。しかしそれらを独立に採用しても、製品・システムを全体的に守る対策とはならない。それらを有機的に結びつけ総合的なモノづくりに反映しなければならないが、これを支えるセキュリティ『エンジニアリング』は未成熟であるといわざるを得ない。米国などでは、産学ともにこれを興そうとする動きが見られるが、わが国では不十分である。
     「今後3年間に取り組む重点政策」には、「設計段階からセキュリティを作りこむ開発手法の普及と定義」を具現化する政策が盛込まれていない。今後の政策具体化に期待する。

  • 「2012年の姿」−「横断的な情報セキュリティ基盤」−「情報セキュリティ人材の育成・確保」について
      人材育成・確保の施策としてスキルフレームワークやキャリアパスの整備が進められているが、情報セキュリティ技術者の数・スキルは十分に向上していない。情報セキュリティ分野がICT産業のなかで大きな利益を生む状況にないことなどから、必ずしも情報セキュリティ技術者は評価されにくい状況にあり、技術者はモチベーションの維持に苦心している。
     国のセキュリティ政策を進める上で、実際の対策推進を支える人材が貧弱になってゆく状態を放置すると政策推進が根幹から立ち行かなくなる恐れがある。民間活力に委ねるだけではなく、政府自体が情報セキュリティ確保の主体事業者となり情報セキュリティ技術者の活躍の場を設ける施策をとることが望まれる。

  • その他
    • 「事故前提社会」への対応力強化(P27)
       「万が一の事態においては、その影響範囲、影響の度合い、緊急度、原因などの事実関係を明らかにしつつ、迅速な対応・復旧を広く進めることで、事業継続性を確保する。」という記載がある。
       「事故前提社会」への対応力のためには、対処方法の整備が必要であり、対処方法(技術面ならびに制度面)の整備についても言及して欲しいと考える。例えば、ファイル共有ソフトの情報漏えいについては、情報漏えいのファイルを保有しているノードが特定できたとしても、そのファイルを削除するための仕組み(特に運用面)がない。また、意図的に、情報漏えいを助長する活動(Winnyで情報漏えいしたファイルをShareに再度流すなど)や、情報漏えいファイルの情報を元に誹謗中傷する活動など対処方法なども整備されないと、「事故前提社会」への対応力強化という文字は、絵空事になってしまう。
    • 個人情報漏洩について
       P2Pをはじめとする情報漏えいは一向に減少しないし、一度漏洩した情報の失効が出来ない状況は変わっていない。政府として、この状況に対する具体的な対策を図る必要はないだろうか。
    • 主体識別コードについて
      韓国の様に個人識別のためのフレームワークを国家レベルで推進している試みがある。匿名性も重要だが、識別のための統一された識別子の必要性もある。住民基本台帳ネットワークの普及度が低い日本では、その代用を検討する必要がないだろうか。

以上


「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)について

社団法人情報処理学会
会長 佐々木 元

  • ドキュメントの一貫性を保障するために、用語や技術の統一を図ることは効果的である。ただし、ここで統一したものがその後民間などで広く引用される可能性もあるので、統一する用語などについてはより一般的にするか、省庁間での利用を前提としたものであるかが明示的にすることが望まれる。
     例えば、「複数要素主体認証(p. 9)」や「不正プログラム定義ファイル(p. 10)」はあまり一般的でなく、「マルチモーダル利用者認証」や「シグネチャー」と一般には呼ばれることが多い(変更が必要という意味ではない)。

  • 基本遵守事項の実施状況について
     基本遵守事項は必須として実施すべき対策事項として定義されているが、その実施の実情が不十分・不適切なケースはないか。例えば、調達要件において「統一基準」への適用が求められる割合が低いのではないだろうか。また、適用対象となったものの設計開発結果を、事後に第三者が評価し、基本遵守事項として求められている事項の実現が適切であったかどうかを評価し、どのくらいこの統一基準が実効性のあるものになっているか、実施状況を把握する必要がある。

  • 対策導出の根拠について
     本基準は、具体策のカタログとしてまとまっていて一定の有用性があり、民間でも援用しようとする動きがある。しかし、その導出根拠が明示されていないため、個別状況への適用是非を判断できない。可能であれば、対策導出の経緯や根拠の開示が望まれる。

以上



「重要インフラの情報セキュリティ対策に係る第2次行動計画」(案)について

社団法人情報処理学会
会長 佐々木 元

  • 「検証レベル」について
     本計画書で新規に導入されたセキュリティ障害の状態を重要インフラについて横断的に定義したことは評価できる。無制限なセキュリティ対策を行うより、本計画で対象とするレベルを明確にすることは対策を効果的に経済的に実施できる効果がある。ただし、別紙で記載されているレベルが各分野について一律一定の基準になっているかどうかは検証が必要であろう。

  • 検証レベルと予防的対策
     検証レベルを逸脱したIT障害に着目するのでは、「事後的対策」の検証・改善には有効であろうが、「予防的対策」に対してはその不備はわかるもののその他の観点での検証・改善につなげるには課題があるのではないか。

  • 「分野横断的演習」について
     事故前提社会の仮定の下で重要インフラへのサイバー攻撃に対処するための準備を行うのは理解できるが、演習によって何を明らかにしたいのか、どの機能に焦点をおいた演習をするのかその目的が明確になっていない。例えば、災害に対する復旧の速さやバックアップの効果を目的とするのか、重要インフラ間の情報交換が必要十分に行われることを検証するのか、いくつか考えられる目的の中で明確にしないと形式だけの演習になりかねない。

  • 「セプター」と「セプターカウンシル」について
     第一次行動計画によりほぼ設置が完了するということだが、どのようなセプターがあり、それらの構成要員や開催頻度、議題などその詳細が一般にはまだ浸透していないと思われる。セプターについての情報公開やその意義などの広報が必要ではないか。

以上