経団連くりっぷ No.127 (2000年6月22日)

防衛生産委員会/5月30日

情報セキュリティの現状と動向

−技術調査委員会報告会を開催

社会の情報化が急速に進む中、情報技術やネットワークを利用した各種の不正行為が急激に増加しており、セキュリティの確保等の問題への対応が求められている。防衛生産委員会では、関係企業の専門家からなる技術調査委員会で検討を行ない、本年3月に報告書「情報セキュリティの現状と動向」をとりまとめ、今般、関係者約400名の出席を得て報告会を開催した。

  1. 情報セキュリティの背景

    2. インターネット等にみられるネットワーク社会が急速に進展する中、ネットワークを利用した各種犯罪、不正行為等が増加しており、セキュリティの確保が重要な課題となっている。
    ライフラインのような社会基盤システムにおいて、高度のサービス提供や安定的なシステム制御を実現するためには、セキュリティの確保は欠かせない。しかし、社会基盤を支える情報システムは、物理的要素、人間、ハードウエア、ソフトウエア、通信、記録メディア等多くの脆弱性を有する。その中でも最も管理が難しいのが「人間」である。
    脅威から情報システムを守るには、脅威の可能性、情報システムに及ぼす影響、対策コストを勘案の上、適切な対策を講じ、システムの脆弱性を減らす必要がある。

  2. 情報セキュリティの施策

    3. 情報セキュリティに関する対策は、米国、欧州、日本で、レベル、内容に関して大きな差がある。
    米国では、情報セキュリティを国家安全保障上の最重要項目と位置付け、国家レベルで取り組んでおり、施策、規則、標準、ガイドライン、対応組織が充実している。
    欧州では、EU(欧州連合)の発足に伴い、欧州内での統合した情報セキュリティの枠組み作りに取り組んでいる。また、英、独、スウェーデン等5ヵ国では、電力・通信等の重要基盤防護対策にも取り組んでいる。
    わが国では、情報セキュリティに対する国家レベルの統一的な取組みが遅れており、電子政府、電子商取引、不正アクセス防止等への個別的対応が主体となっている。

  3. 法的問題

    4. 情報化社会の安全性・信頼性確保のためには、情報システムを取り巻く社会的な法整備が重要である。具体的に問題になるものとして、認証・電子署名、プライバシー保護、不正アクセス防止、暗号規制、インターネット・プロバイダーの管理・規制等がある。
    わが国でも、情報セキュリティに係る法整備が進みつつあるが、電子署名等未だ不十分である。国際的な問題や技術進歩の速さへの法律の適合性等の問題はあるが、市場および国際的に調和のとれた法整備を進める必要がある。

  4. セキュリティ評価制度

    5. 利用者が安心して情報技術製品を選定できるようにするためには、製品のセキュリティ機能を客観的に評価する仕組みが必要である。
    米国では1985年にコンピュータ製品のセキュリティ評価基準であるTCSEC(Trusted Computer Security Evaluation Criteria)が制定された。欧州各国では、1980年代後半から、独自の評価基準が制定され、1991年には、欧米共通の評価基準として、ITSEC(Information Technology Security Evaluation Criteria)が制定された。
    さらに、1990年代に入り、国際的な共通評価基準(CC)が制定され、それに基づく評価および評価結果の国際的な相互承認が進められている。
    わが国でも通産省を中心に、評価制度の整備が進められているが、評価基準の制定と国際協調、セキュリティの開発・評価に係わる人材育成等更なる制度整備が必要である。

  5. ライフサイクル・セキュリティ管理

    6. ライフサイクル・セキュリティ管理とは、あらゆる種類の情報システムを対象として、開発から運用、維持、改修、廃棄に至るライフサイクル全期間にわたるセキュリティ対策活動であり、欧米では、「評価・認定(C&A)」と呼ばれる。
    米国では、1980年代から政府機関や軍および政府との契約関係企業を中心にC&A活動が実施され、現在、一般企業でも利用されつつある。また、最近の情報システムの発展に対応して、1997年12月に国防省全機関と軍を対象とするDITSCAP(国防総省情報セキュリティ評価・認定プロセス)が制定された。
    欧州でも、C&A活動の必要性が認識されているが、米国のような確立されたC&Aの評価・認定プロセス標準・規則がない。ただし、英国では、C&Aの実施を促す慣行規範として、BS7799(Code of Practice for Information Security Management)が制定され、1995年から運用されている。また、この慣行規範が遵守されているかどうかの評価・認定を行なう「C:CURE制度」が英国規格協会によって運営されている。
    わが国では、C&Aの概念の理解が始まった段階である。C&Aに近いものとして、通産省のシステム監査基準のなかで、情報システムのライフサイクル管理の実施が言及されているだけであり、C&A制度(基準及び組織)の確立が急務となっている。

  6. セキュリティ技術

    7. セキュリティ技術は、直接的対策、間接的対策、物理的対策に分類される。
    直接的対策は、情報システムへの攻撃に対する直接的な対策であり、暗号、デジタル署名、識別認証、ネットワーク・セキュリティ、マルチレベル・セキュリティ等がある。間接的対策は、情報システムへの攻撃に対する予防及び発生後の早期検知・回復のための対策であり、ウイルス対策、セキュリティ監視、セキュリティ評価技術等がある。物理的対策は、設備に対する対策であり、電磁シールド、入退出管理、本人認証等がある。
    情報セキュリティは完全性、アクセス可能性、秘密性を実現し、脅威から守ることであるが、ハッカー、ウイルス等の攻撃側は絶えず技術的に進化して、より高度な対応が求められる。同時に、犯罪がグローバル化する中で、広域の監視システム、監視運用体制の整備が必要であり、欧米の施策、法律、技術等の動向を絶えず調査し、早期に対応していくことが重要である。

くりっぷ No.127 目次日本語のホームページ