政府内における内閣官房情報セキュリティセンターの位置づけ

昨年4月に奈良先端技術大学院大学教授の山口英氏を内閣官房情報セキュリティ補佐官に起用した時期から、内閣官房情報セキュリティ対策室では大幅な増員を行ってきている。内閣官房情報セキュリティセンターに改組されてからも増員のペースは衰えることなく、今年7月には35人体制を確立するとしている。さらに来年度には60名体制までの増員が予定されており、800人体制の国土安全保障省を有する米国は別格としても、欧州各国の組織にとらない規模とすることが政府の政策として掲げられている。政府の言葉を借りれば、「情報セキュリティ問題に関する中核機関（ナショナル・センター）」が、内閣官房情報セキュリティセンターの位置づけだと言うことになる。

さて、インタビューを行うにあたり、筆者が疑問に思っていた事の1つに、IT 戦略本部との関係がある。内閣総理大臣直属組織であるIT戦略本部内には、情報セキュリティ対策推進会議、情報セキュリティ専門委員会、そして前回述べた情報セキュリティ基本問題委員会と、名称から察するに、内閣官房情報セキュリティセンターと役目が重なるように思える組織が多々存在する。それらの組織との役割分担はどのようになっているのか、山崎氏からは非常にわかりやすい回答をいただくことができた。「IT戦略本部は国家レベルでの意思決定機関、内閣官房情報セキュリティセンターはその意思に沿って業務を行う実行部隊」。頭脳と体の関係にある、そう考えるのがわかりやすい、とのことであった。

　内閣官房情報セキュリティセンターでは、段階的に活動を開始しながら、大きく以下の4つの機能を実装することを政策として掲げている。

　・情報セキュリティ政策に関する基本戦略の立案
　・政府機関の総合対策推進
　・政府機関の事案対処支援
　・重要インフラの情報セキュリティ対策

ここで言う「段階的に」とは、今年7月に向けて徐々に人員を増強しつつ、活動を開始していくことを意味しており、決して上記の諸機能の整備を漸進的に進めていくと言うわけではない。内閣官房情報セキュリティセンターとしては、それぞれに明確な優先順位はなく、すべてが基本的に同レベルの重要度を持って扱われる。つまり、各機能を動かしつつ、人員を徐々に強化していくということだ。ただし、本連載の第3回で詳細を述べるが、重要インフラのセキュリティ対策については、情報セキュリティ基本問題委員会の第二次提言がつい先日発表されたばかりということもあり、現在は具体策の策定を進めている段階にある。以上を踏まえて、ここからはそれぞれの機能について、特に今年度中に着手、実装を目指す項目を重点的に述べていく。

今年度の活動予定(1)　～情報セキュリティ政策に関する基本戦略の立案～

まず、内閣官房情報セキュリティセンターとして今年度の最重要課題と位置づけているのが、「第1次中長期計画」の策定である。これは、国家戦略としての情報セキュリティ政策を今後どのように進めていくかと言う観点から策定されるものであり、今後の国家施策を決定付けるものだ。前回紹介した情報セキュリティ基本問題委員会の第一次提言で指摘があった通り、日本にはいままで国家レベルでの情報セキュリティに関する基本戦略が存在していなかったのだが、それを補うのがこの作業となる。

　また、「平成18年度の各省庁の情報セキュリティ関連施策の重点事項」の策定を行うこと、これも内閣官房情報セキュリティセンターの今年度の主要作業として位置づけられている。内閣官房情報セキュリティ対策室時代に行ってきた、各省庁へのセキュリティ指導がより強化される形となる。さらに、内閣官房情報セキュリティセンターとして、積極的に新規政策事案を立案していくことも、目標に掲げられている。

今年度の活動予定(2)　～政府機関の総合対策推進～

第一次提言では、政府自身の情報セキュリティ施策に大きな不足が見られるとの指摘もなされていた。これを受け、内閣官房情報セキュリティセンターでは、「政府統一的安全基準（初版）」の策定を予定している。政府全体を、横断的に網羅する総合的なセキュリティ基準が今まで存在していなかったことを受けての施策である。

　さらに、その政府統一的安全基準（初版）を用いた、政府全体に対する統一的なセキュリティ評価も予定されている。改組前の内閣官房情報セキュリティ対策室時代には、各省庁が作成したセキュリティポリシーの遵守状況の監査が行われていたが、今回は初の統一基準による監査となる。情報セキュリティの世界では、セキュリティレベルが低いところが一ヶ所でもあると、そこからせっかく構築した他のセキュリティまで瓦解してしまうと言われている。今回の統一基準による監査実施は、そういった情報セキュリティの特性を充分把握した上での措置であると言えよう。

今年度の活動予定(3-1)　～情報収集・分析機能の強化～

内閣官房情報セキュリティセンターでは、各政府機関の具体的な事案対処の支援も積極的に行っていくことを謳っている。そのための準備として、今年度の活動予定に掲げているのが情報収集・分析機能の強化と関係諸機関との連携強化だ。

　情報収集・分析機能の強化に当たっては、関連機関との連携強化はもちろん行っていく。ただし、「内閣官房情報セキュリティセンターとして、単独で情報収集を行うという発想だけではなく、既に様々な民間企業や一部の省庁で整備されている情報収集ネットワークとの連携を図ることが重要」（山崎氏）との考え方から、既に存在している情報網をどう活用するか、そこに主に軸足を置いて活動を行っているとのことであった。つまり、どこでどのようなシステムが稼動しているのか、何かあったときに迅速な情報収集を行うためには、どこにコンタクトを取るのが最も効率が良いのか、そういった情報を把握しておくことで緊急事態に備えようという考え方だ。実際に、その前提に立って、様々なインシデントを研究、分析する作業が進められているとのことだ。

今年度の活動予定(3-2)　～関係諸機関との連携強化～

関係諸機関との連携強化については、前述のIPAのほかにもJPCERT/CC（有限責任中間法人JPCERTコーディネーションセンター）やTelecom-ISAC Japan等とのさらなる関係強化を行い、インシデント等に対する即応性の強化が目標として掲げられている。

　なお、内閣官房情報セキュリティセンターの4番目の機能である「重要インフラの情報セキュリティ対策」については、今年4月22日に公表された情報セキュリティ基本問題委員会の第二次提言に基づいて、現在施策を立案中とのことであった。これについては、次回の記事にて、内閣官房情報セキュリティセンターの今後の活動についてとして触れる。

内閣官房情報セキュリティセンターのその他の活動

内閣官房情報セキュリティセンターには、内閣の情報セキュリティ実働部隊としての顔のほかも業務がある。その1つが、政府直属の情報セキュリティインシデント対応組織としての役割だ。上述したとおり、IPAやJPCERT/CC、Telecom -ISAC等の諸機関との連携を取りつつ、現在17名から構成される緊急対応支援チーム（NIRT）を中心にして、万が一に備えた準備が行われているとのことである。 　また、各省庁間で政策が矛盾したり、重複したりした場合の調整役も内閣官房情報セキュリティセンターの重要な責務の1つである。基本的には、各省庁の自主性に任せていくが、省庁間の軋轢等で調整が必要な場合には対応を行っていくとのことであった。

　本連載最終回となる次回は、先ほど述べたとおり、第二次提言から読み取れる重要インフラのセキュリティ対策と、重要インフラを管轄する関係諸省庁との関係について述べる。