誰が"リスク"を評価するのか?
同パネルディスカッションにおいて東京大学の安東氏は、きちんと情報セキュリティに関するリスクを評価できる企業や人材が少ない点を指摘。「回線の種類や速度など、必要に応じてユーザーが選べるようになっているISPとの契約を例に、セキュリティに関してもリスクの程度に応じて対策のレベルを選択できるような仕組みが必要なのではないか」という提言を行った。
国内におけるリスクを評価できる企業や人材の不足については、セキュリティ普及促進委員会の構成メンバーが外資系企業に偏ってしまっている事実がそのことを端的に表している。経産省の黒田氏は、「(リスクレベルや企業規模に応じた)ツールの選択性についてはもっと多様性が必要。B to Bの世界であれば、サービスの契約前に、提供者側とユーザー側がもっとセキュリティのレベルや設定について話し合うべき」とし、「カスタマイズ = ユーザーの要求に応えるという点は日本企業の強みでもある」として、日本のIT企業の一層の奮起を促した。
また黒田氏は、組織や企業内部からの情報漏えいリスクに関して「"恥の文化"を持つ日本人なら大丈夫だろう」といった、いわば性善説を前提としたこれまでの常識も通用しなくなっている実情にも言及。中小企業においても現状把握とリスクの存在への"気付き"の意識を高めるべき時が来ていることを指摘した。さらに、クラウドコンピューティングの普及を視野に、データセンターなどの事業者に対する信頼性の尺度となる格付け制度がスタートしたことを紹介した。
なお、黒田氏はこのような格付けを含めたセキュリティに関する指針について、「東南アジアへの普及も狙っている」という構想を明らかにした。セキュリティベンダーは外資系が多いため、基準作りなどの場面における日本の立場は相対的に低い。この構想は、タイや中国、インドネシアなどと連携することによって「アジア」という大きな枠組みを作り、結果として日本の影響力を高めようというものだ。
ユーザー視点、現状把握・分析が肝要
ディアイティの下村氏は、自身がNPO法人 日本ネットワークセキュリティ協会(JNSA)でサプライチェーンに関するセキュリティ基準の策定活動を行っていることに触れ、「似たような業種・業態に属した者どうしと、そこに関わる"外"の人たちが一緒になって考えるべきこと。その間を取り持つ役割をIPAが担えばいいのではないか」とし、海外におけるセキュリティに関する取り組みが"現場目線"で行われている事情を紹介しながら、日本でも、もっとユーザー目線に立った取り組みが必要であると訴えた。
最後にモデレータである東京大学の安藤氏は、「それぞれの企業が属する団体などで努力目標を立ててセキュリティレベルの基準を作っていく……そしてセキュリティベンダーは、そのための後押しをすべき」とし、聴講者に「現状把握・分析を行った上で身の丈に合ったセキュリティレベルを考え、早くスタートラインに立ってほしい」と訴えてパネルディスカッションを締めくくった。 今回のパネルディスカッションのテーマは「情報セキュリティ対策が普及しない理由」だったが、その答えは1つではないものの、パネリストの意見にもあったように、根本的には「個人の意識の低さ」にあると思う。
ともすると我々は、社会生活において様々な規制やルールに守られているということを忘れがちだ。つまり、「誰かが守ってくれている」ということに慣れすぎており、「at your own risk(自己責任で)」に対する免疫力が弱くなっている。情報セキュリティは、「これさえ守れば安心」「誰かが見てくれれば安心」といったものが事実上存在せず、これまでの常識の範囲を逸脱した発想が求められる世界。だから意識改革(バージョンアップ)して"人間2.0"になれという話が随所に出たわけだ。
「日本人の意識構造を変える」といった大きな課題に対し、セキュリティ普及促進委員会のみならず日本のIT企業がどのような役割を果たすことができるのか、今後の動向に注目したいところだ。
【重版出来!】
『情報セキュリティ白書 2009』情報セキュリティに関する脅威やリスク、各種統計データの把握に最適。
・著者:独立行政法人 情報処理推進機構
・定価:1,200円(税込)
・A4変型判 192ページ
・ISBN978-4-8399-3240-4