役割分担の概略図を示すとこうなります。（別紙・「政府全体の情報セキュリティへ取り組み」）

まずIT戦略本部が内閣総理大臣直下に存在します。これは、情報セキュリティには限らずIT全体を統括するものです。その下に、政府全体のITセキュリティ対策組織として、情報セキュリティ専門調査会と情報セキュリティ対策推進会議があります。情報セキュリティ対策推進会議は、各省庁の局長クラスで構成されており、情報セキュリティ専門調査会は、いわゆる専門家で構成されています。情報セキュリティ専門調査会と情報セキュリティ対策推進会議は、内閣官房直下の内閣安全保障・危機管理室が運営しています。ここまでが、全体のヘッドクォーターとして機能しているところです。ですので、政府全体で取り組む重要な施策、最近ではサイバー・テロ対策特別行動計画ですとか、そういった施策はここで決定しています。

次に各省庁レベルの話ですが、経済産業省は、コンピュータの利用、情報処理、工業標準といったことが具体的な取り扱い内容になりますが、いわゆる電子商取引での情報セキュリティがメインです。また、総務省と組んで、電子商取引の情報セキュリティについても一定の役割を果たしています。総務省は旧郵政省ですので、電気通信のインフラストラクチャについての取り組みを行っています。また、総務省は旧自治省でもありますので、地方公共団体の情報化を進めています。法務省は、民事・商事・刑事の新しい基本法制を制定すべく作業中です。あとは防衛庁や警察の担当は図のとおりです。

もう少し具体的に言いますと、不正アクセス防止法という、情報セキュリティに関する基本的な法律の一つですが、これは経済産業省と法務省と警察庁が扱う強化法ということになります。電子商取引に必要な電子認証について法的な部分を規定する電子署名法の場合ですと、経済産業省と総務省と法務省の強化法という位置づけになります。そういうわけで、それぞれのフィールドを持ちながらも、電子政府とか取締については省庁が連携しており、全体は内閣官房が統括しております。

省庁のシステムは省庁ごとに面倒を見ています。

経済産業省としましては、JPCERTのような民間の団体をもっと充実できないかなと考えています。たとえば米国の例では、業界ごとにCERT(緊急対応センター)があるのですが、各業界に適した形で情報を提供しています。もちろんそれら全体を監督するCERTもありますが、重層的な形でCERT同士が連携しています。そういうのも、日本が目指す形の一つでしょう。

最近のウィルスの状況を別紙「不正アクセス／ウィルス届出件数」に、別紙「コンピュータ・ウィルスの届出状況について［要旨］（電子ファイルはvirus_press 2001_10.htm）」に、情報処理振興事業協会が一般ユーザ向けにwebで提供している資料を示しました。

官公庁としてのセキュリティ対策につきましては、別紙・「情報セキュリティに関するガイドラインの概要」にありますように、政府全体としてこのようなセキュリティポリシーのガイドラインを設けていまして、これに従って各省が自らセキュリティポリシーを策定しています。セキュリティポリシーというのは、セキュリティの管理のしかたを一つのフローチャートに表せる形で計画を作って、策定して導入して運用して評価して、またもう一度見直して行くという一つのサイクルになるようなプランを各省庁が作るということになっていまして、それにしたがってセキュリティ管理を行っています。 (別紙「情報セキュリティポリシーの概要」)。

あと、政府全体として何をやっているかに関しましては、別紙「e-JAPAN重点計画　2」に示しています。e-JAPAN重点計画の平成14年度の方針を同PowerPointの「e-Japan2002プログラム(基本方針)」に示しました。それと、先ほどの話と重複しますが、今世の中にある情報セキュリティ政策というのが大きく分けるとこれだけ(別紙・「我が国の情報セキュリティ政策全体像」)ありますが、線が引いてあるところが、経済産業省が手がけているところということになります。今の図とは必ずしもきっちり対応はしていませんが、具体的な経済産業省の政策の中身をお話しますと、同PowerPointの「情報セキュリティ評価」で、政府調達のために必要なセキュリティ技術基準(ISO15408など)を満たしているかという観点で製品を評価していき、同PowerPointの「暗号技術評価」で、政府で使う暗号を評価していきます。

独自暗号というのはどういうことでしょうか？

もちろんそうです。認証局のセキュリティというのはものすごく大事なことです。ここのセキュリティが確保されないと、そもそも電子商取引の信用というのはなくなってしまいます。したがってここはとても大事です。この法律はただ、認証局を設立するための制度ではなくて、この法律上は認証局は自由にやれるんですけれども、認定という行為をするにあたっては、法律による指定調査機関というのがあって、一定のセキュリティレベルにあることが確認できれば認定をします。したがって、認定を受けた認証局は、そのセキュリティ度合いが一定レベルにあるということが公証できるわけです。それを信用にして、商売をしてください、というのが趣旨なわけです。

情報セキュリティマネジメントという取組みについてお話しましょう。さきほどの政府の話の中で、「情報セキュリティポリシーのガイドラインを作って、それに基づいて各組織体の中でセキュリティを管理できる体制を作っていく」というセキュリティポリシーの趣旨について話をしました。民間でももちろんそのような活動があるわけですが、(政府として)セキュリティマネジメントという一つの仕組みというか概念を確立して民間に普及していきましょう、と。これはJIPDEC(日本情報処理開発協会)さんがパイロット事業として、これに対する認定というんでしょうか、JIPDECさんが第三者として民間の会社向けにセキュリティマネジメントのレベルを評価しましょうという仕組み作りをされていますので、それに対する支援をしています。

あとは同PowerPointの「サイバー・テロ対策」についてですが、これは内閣官房が中心になってやっていることですが、情報インフラに限らず電力、ガス、国土、航空も含め、そこが破壊されると社会に重要な影響が出るというインフラストラクチャに対してはサイバー攻撃から特に守る必要がありますので、これに対しての対策を行っています。具体的には、緊急時の情報連絡体制を構築しようという話をしています。その他の施策に関しては同PowerPointに書かれておりますが、いま内閣官房と連絡体制の話をしていまして、これは10月2日にとりあえずこういった形(別紙「サイバー・テロ対策に係る官民の連絡・連携体制について」)でまとまっています。どういったときにどういう情報を内閣官房に流し、内閣官房は省庁間で共有するのかという具体的なやり方を示した連絡体制がここに書かれています。ここまでが、政府全体での役割です。

それと、サイバー・テロ対策についても、当然、経済産業省は電力とガスを司っていますのでこの取組みに参画しています。それとあとは、先ほども出ました暗号とセキュリティ評価。経済産業省所管の事業のものだけではなく、政府全体の手伝いというか貢献をしているという位置づけの業務です。あとはウィルスとか不正アクセス、先ほどのIPAでのことなども、All Ministryというか、経済産業省のためだけではなく政府全体のためにやっています。

今年の4月から、情報アドミニストレータ試験というのを実施しています。その中身には、相当程度セキュリティの部分がありまして、あれをパスすれば、情報セキュリティの管理者としての相当なレベルになります。

あとは、資格制度ではないですが、電子情報技術産業協会(JEITA)や電子商取引安全技術研究組合(ECSEC)といった民間の企業の団体がやっておられる研修への財政的な支援を行っています。具体的には、セキュリティの評価技術や設計技術を持った方を育成する研修への財政的な支援です。教育講座の内容に関しましては、ECSECとJEITAのホームページをご参照ください。

まずメーカ側には、セキュリティというのは技術と技術の戦い、即ち新しいクラッキング技術に対してそれを乗り越えるためのパッチの技術というかセキュリティ技術で対応していくという重要な部分を、今までもやっていただいていますけれども、引き続きやっていただきたいと考えています。これが情報セキュリティの一番のコアだと考えています。

ベンダー側に対して我々が考えているのは、緊急対応を積極的にやっていただきたいということです。マイクロソフトなどは今でもそのような体制を持っているが、どうしても、100%安全なソフトウェアなどの製品というのは存在しないわけで、どこかに何がしかのセキュリティホールが存在します。そこの部分は製品化する段階ではすべては捕捉できないわけで、あとになってその部分の存在がわかったとき、それというのは攻撃を受けて初めてわかるわけですが、そのときに迅速にパッチプログラムを提供してもらうとか、情報を提供してもらうとか、そういう緊急時の対応に関して、ベンダーサイドも積極的に取り組んでもらいたいですね。

あと情報技術に関しては、ユーザーフレンドリーというか、セキュリティ製品をもっと使いやすい製品にするという取り組みを期待します。どうしても、(既存の)ワクチン製品にしても、まだまだ使いにくいという感じがしています。これがメーカーサイドへの期待ですね。

ユーザ側に関して言えば、企業や組織、役所もそうですけれども、トップの人たちに、セキュリティに対する意識をもっと持ってもらいたいですね。いくら良い製品がフリーで出回っていても、使わなければ意味がありません。組織にしてみれば、システム管理の部署にまかせっきりになってしまっていて、経営層は、いま(システムの状態が)どうなっているのか把握していないというケースが多いです。しかし今後は、電子商取引というのが進んでくると、組織というのは会社だけではないわけですが、特に会社の場合は、セキュリティの度合いというのが直接信用にかかわってくるようなことになるという時代が来ます。ですからセキュリティに対する意識を持ってくださいということを言いたいと思います。

一般個人に関しても同様でして、セキュリティに対してしっかりとした意識をもってほしいですね。最後は自分で守るしかないわけですから(インタビュアー苦笑)、自分で動いて自分で対応していく、ということですね。その2点ですね。役所の職員についても同じことですし、役所のトップについても同じことが言えます。

まだまだ危ないと考えています。セキュリティポリシーをきちんともっている民間企業はまだまだ少ないのではないでしょうか。決して多くはないと思いますね。あと、個人の方にいたっては、自分のパソコンにワクチンソフトを入れて定期的にウィルス定義ファイルを更新している人がどれだけいるか、アンケートをとればわかると思いますが、ほとんどの方はやっていないと思います。

情報セキュリティのお話はすべて私が統括しております。但し、経済産業省のシステムの管理は、別途、情報システム構成課という部署がやっています。ですから、わが国の情報セキュリティの政策、電子商取引とか電子政府とか、そういう観点での情報セキュリティを高めていく政策はどのようにしていけばいいのかというところを考えるセクションということになっています。

私は国土交通省の総合政策局の課長補佐でした。前任者も国土交通省出身でした。国土交通省とは人材交流があり、私はこの5月からこの仕事をしています。ここに来る前は防災とか技術開発の関係をやっていましたので、少し前職とは似ています。ただ情報関係は直接は携わっていませんでした。