|
|
 |
AT&T ジャパン(えいてぃあんどてぃじゃぱん) |
世界最大の通信会社、AT&Tの日本法人。日本のグローバル企業向けにセキュリティを含むソリューション企画を担当する、門野健治ソリューション企画部長と、AT&Tがグローバルに展開するセキュリティ関連サービスの企画を担当する、渕上うつみサービス企画部長が共同で執筆。
|
|
|
|
|
 |
笛吹いて民間を踊らす―米国政府のセキュリティ対策
著者: AT&T ジャパン株式会社 ソリューション企画部長 門野健治 プリンター用 記事を転送
▼2008年7月7日 10:00 付の記事
□国内internet.com発の記事
コラムの第1回で米国のセキュリティが進んでいることに触れたが、今回はそれを後押しする米国政府の政策について紹介する。
米国防省が毎年公表している「中国の軍事力に関する年次報告書」の2008年版では、中国のサイバー戦争能力が増大していることが強調された。しかし、一般の安全保障に比べ、政府がサイバーセキュリティにどこまで責任を持つかは難しい問題である。
たとえば、海外から米国内に向けて発射されたミサイルを迎撃ミサイルなどで阻止し、住民の安全を確保するのは国防総省や警察の任務である。だが、中国にいる(かもしれない)ハッカーが米国にいる企業に仕掛けたサイバー攻撃を米国政府が取り締まれるだろうか。技術的な制約もあるが、政府の責任と権限の範囲は不明瞭になってしまう。また、政府だけで対応できるものでもない。
そこで米国政府は、自らルールを決め、民間企業との連携をうまく使ってセキュリティを推進しており、これが米国のセキュリティ政策の一つの特徴となっている。
●政府主導によるコントロール
米国政府の初期のセキュリティポリシーは、「オレンジブック」として知られるものである。本の表紙の色からこう呼ばれたが、80年代に NSA(国家安全保障局)下の NCSC(National Computer Security Center)が作った、政府が使用する情報システムのセキュリティ評価基準ガイドラインである。4つのセキュリティレベルとそれぞれの要件を定義したセキュリティポリシーの最初のフレームワークとして、長らくバイブル的な存在であった。これが元になって国際基準の Common Criteria(コモンクライテリア)が生まれ、現在の ISO15408の国際標準規格へと発展した。
そして90年代以降、米国政府は、FIPS(Federal Information Processing Standards Publication)によって、暗号、認証、デジタル署名などのセキュリティ対策分野別により具体的な基準や要求仕様、ガイドラインを示している。特に FIPS140-2では、政府が調達する暗号モジュールに関するセキュリティ要件を規定している。これに適合していれば、米国政府のお墨付きをもらったことになり、企業はそれを売り文句にできる。米国政府は調達のルールにより、民間で開発されるセキュリティ製品の仕様や強度を間接的に統制・支援していると言える。
●進む官民での協力体制
クリントン政権時代の大統領令に基づき、金融や通信といった重要インフラのセキュリティ保全を推進するため、ISAC(Information Sharing and Analysis Centers)という政府と各産業界の官民協力体制が作られた。
たとえば、金融業界には Financial Service ISAC がある。ISAC ではその業界で起こったセキュリティ問題やその対策についての情報共有が奨励されるが、現実的には競合と情報共有することで競争力低下につながるなどの懸念も多く、インシデント情報の報告は匿名で出来る仕組みになっている。
米国政府は ISAC の活動の支援に数百億円に相当する予算をつけたが、それ以上に民間からの貢献が期待されている。ISAC 以外にも、「On Guard Online」のような、政府が民間団体やIT企業とタイアップして、セキュリティ対策の普及や意識向上を呼びかけている例もある。
●日本でもようやく始まった官民連携モデル
翻って、日本。重要インフラのセキュリティ対策を官民の協力体制で進める米国の ISAC モデルは、日本でも2002年に通信業界で Telecom-ISAC が立ち上げられ活動している。また、内閣官房情報セキュリティセンター(NISC)が2005年4月に設置され、その主導で国としてのセキュリティ基本計画が策定されているが、計画実施の上では米国のような官民連携モデルが鍵になっている。
日本が得意とする暗号分野では、「CRYPTREC(Cryptography Research and Evaluation Committees)」というプロジェクトで、政府が調達する情報システムでの利用が推奨されている暗号技術のリスト化やその普及が推進されており、民間企業・大学からも多くの専門家が参加している。
先に述べたように、政府だけで強固なセキュリティ対策を実現するのは難しい一方で、政府が果たす役割は大きい。セキュリティの脅威はもはやグローバル規模であることから、今後は国内の官民連携に加え、国際での官官・官民・民民間での協力の必要性が高まるだろう。ここでも米国が指導的な役割を期待されているが、世界的にもレベルの高い暗号技術分野などでは日本が貢献できる可能性もありそうだ。
(AT&T ジャパン株式会社 ソリューション企画部長 門野健治)
|
|
|
