HOME情報セキュリティ資料・報告書・出版物出版物のご案内内容紹介:「情報セキュリティ教本 改訂版」の発刊に寄せて

本文を印刷する

情報セキュリティ

内容紹介:「情報セキュリティ教本 改訂版」の発刊に寄せて

内閣官房情報セキュリティ補佐官
奈良先端科学技術大学院大学 情報科学研究科 教授
山口 英

 情報システムは、今やどんな組織にも業務遂行に必要不可欠なものとなっている。情報システムによるオフィスワークの効率化だけではなく、生産から販売までのすべての場面で情報システムが介在するようになった。情報システムは、業務と密接に結合されている。業務の拡大展開には、あわせて情報システムの整備、発展が不可欠となっている。情報システムは組織の基盤である。

 情報システムの基盤化によって、情報システムは「いつでも最高の状態でサービスを提供する」という大きな期待を背負うことになった。たとえば、情報システムの利用者は、情報システムが常に安定して本来の機能を提供し、情報システムが処理する情報が常に安全に管理されていると期待するだろう。この大きな期待に応える情報システムを構築、管理、運用することが求められているのだ。そして、情報セキュリティ対策の実施は、その中でも大きな比重を占めることになる。

 情報セキュリティ対策の実施は、本当に難しい。各組織の業務の特性に合わせた、合理的な実施が求められるだけではなく、技術、経営、財務、法令、教育、組織統治に関わる面倒な作業をこなすことが必要になるからだ。しかし、それ以上にやっかいなのは、いわゆる情報システムに関わる人々のマインドである。

 これまで多くの賢者達が述べているように、人は元来楽観的だ。理由も無しに、良い状態がいつまでも続くと信じたがる。また、人は、単純反復作業には向かない。単純反復作業は苦痛になり、無意識に手順を変えようとしてしまう。さらに、人は元来なまけ者だ。直接的な成果が期待できないことを実施することは、できる限り避けてしまう。このような人々の特性を理解した上で、情報セキュリティ対策の実施プロセスを産み出さなければならない。このためには、次の点に注意することが必須だ。

 第一に、「なぜ情報セキュリティ対策をやらなければならないのか?」という問いに対して、建前やきれい事ではない、根源的な理由を提示することが必要である。そして、情報セキュリティ対策に関わる人々全てが、その理由を理解しなければならない。根源的な理解は、人を行動させる強い動機付けになるのだ。理由無き楽観論者ではなくなるのだ。情報セキュリティ対策を失敗している組織では、「何故?」という素朴な疑問に対して納得できる答えを提示していないことが多い。

 第二に、怠け者で単純反復作業を嫌い、元来楽観的である人間でも、継続的に取り組むための枠組みを考えることだ。やりたくない人でも、ついつい情報セキュリティ対策をやってしまうような、創意工夫に富んだ、実施方法を設計・実装しなければならない。情報セキュリティ対策の「持続的システム化」を達成しなければならないのだ。このシステム化には、先人の知恵を積極的に活用することが近道だ。いわゆるベストプラクティスの活用だ。情報セキュリティに関わるベストプラクティスは、今や簡単に手に入る。この情報セキュリティ教本も、ベストプラクティスをまとめたものだ。政府や業界団体がまとめた情報セキュリティに関わるさまざまなガイドブック、ガイドライン、基準、国際標準もベストプラクティスの一種である。これらを活用しない手はないだろう。

 第三に、徹底して調査、計測し、対策状況を可視化することだ。人は、成果の見えない物事はやりたがらない。であるならば、対策状況を可視化することで、成果を目に見えるようにしてしまえば良い。そして、継続的な調査、計測は、情報システム管理の中でも大切な作業で「何をしなければならないのか」を明らかにしてくれるものだ。

 第四に、組織構成員全員を対象として、情報セキュリティについての効果的な教育プログラムを提供することだ。人は、学び、教え合うことに大きな喜びを持つ。教え合う組織は成長し、高い能力を持つようになる。

 今後も、やるべき事は増える一方だろう。読者の皆さんが、問題に気づき、より良い対策の実装の手助けとなることを目標として、本書はまとめられた。この充実した内容は、現時点でのベストプラクティスの一つである。これを使わない手はない。読者の皆さんの積極的な活用を切にお願いする。