日経デジタルコアからの提言「情報セキュリティーは経営問題」 ∼企業・組織の情報セキュリティー対策のためのチェックリスト∼ 日経デジタルコア情報セキュリティー研究会１．高度情報社会の信頼性・安全性情報システムは今や企業・組織だけでなく、一般社会における重要な基盤であると言えよう。それに伴い、情報システムの安全性・信頼性を確保するための情報セキュリティー対策が大切になってきた。情報システムだけでなく、どのようなシステムでも、100%完全なものを構築することは不可能である。これは技術的な面からみれば、必ず時間経過とともに陳腐化が起こる。一方、システム運用や利用は人間が行うものである。このため、運用者や利用者が決められた手順を遵守しなかったり、内部の運用者・利用者が簡単に不正を行える状況が面前にあれば、「出来心」や、「好奇心」で不正を行う可能性があり、人間の弱さが原因で問題が発生することもある。このため、技術面だけでなく、人的面、すなわち、管理・運用面、制度面等も含めた包括的な情報セキュリティーを考える必要がある。最近の情報セキュリティーでは、単にコンピューターなどで処理されるものだけでなく、紙等に印刷されたものなども含めて対象としており、また、情報資産という場合には、情報とそれを処理するコンピューターのハードウェア・ソフトウェア、人、関連施設を含めて考える。情報セキュリティー、特にインターネットを利用したシステムの情報セキュリティーでは、社内だけでなく、外部からの不正等も発生しており、米国等の調査では内部より外部犯行の割合が大きくなっており、外部犯行には国内外の競合企業等からの不正行為も増えている。人的面を考える場合、ウイルス・ワーム等の有害プログラムでは、情報システムの管理・運営を行う者だけでなく、情報システムの利用者一人一人が情報セキュリティー意識を持たないと被害を防止できないことが多くなっている。これは情報セキュリティーの人的面の特徴でもあり、利用者全員に対して情報セキュリティーの啓発を行うことが大切になってきた。従来、国内では情報セキュリティーの重要性の認識はあまり高くなかった。これは、島国であり、企業や組織でも終身雇用であるため、従業員が企業・組織への忠誠心が高いことから、特に大企業等では不正を働く者はほとんどいないと言われてきた。しかし、９０年以降、バブル経済の崩壊とともに終身雇用制も崩れ、企業・組織ではリストラの嵐が吹き荒れ、従業員の忠誠心も危うい状況になってきた。また、従業員の削減によって、組織における内部統制機能が更に希薄になってきた。このような状況で目の前においしいものが置いてあった場合、どれだけの人が常にそれを食べずに我慢できるだろうか。人間の弱さを、情報セキュリティーについても考える必要があるのではないだろうか。また、「情報セキュリティー対策は、従来のメインフレーム（汎用コンピューター）での情報処理や情報資産の取り扱いの延長線上での対応で十分である」との認識から生じたと思われる事件・事故も多発している。例えば、最近マスコミにも数多く報告されている個人情報漏洩事件は、内外部からの不正アクセスの問題であると言うより、はるかに単純な設定ミスや無知によるシステム構築等、ずさんな管理体制に起因するものが多い。米国の例では、ずさんな管理体制の個人情報漏洩事件に対して、多額の支払いを余儀なくされている。また、国内の自治体では住民基本台帳データの漏洩に対する損害賠償請求で、管理体制不備等により、最高裁で自治体敗訴の判決が下されている。今後、国内企業・組織でも、個人情報の漏洩に対し、同様な判断が下されることは明らかで、情報セキュリティーが経営上の問題になることは明らかであろう。（ 1 ）企業の情報セキュリティーの確保に必要な要素は、省庁、自治体でも大きく変わるものではない。組織のトップ自らが重要経営事項ととらえ、対策を行うことが欠かせない。（ 2 ）２．情報セキュリティー推進のための提案企業や行政機関が情報セキュリティーを推進するためには、情報セキュリティーに対する組織内の体制を確立し、それを継続して拡充していくことが必要である。これを実現するための取り組み方について提言する。１．情報セキュリティー管理体制の確立・維持（１）ポリシーの策定情報資産は、「人、物、金」と同等の経営資源であり、正社員だけでなく、組織で働く多くの人達が取り扱うのも情報資産の特徴であると言える。このため、関係者全てに情報資産の重要性を認識させることが経営トップの責務であり、情報セキュリティーポリシーの策定を行い、情報資産を脅威から守るための基本的な考え方等を明確にすることが大切になる。（２）PDCA サイクルの実現企業が継続的に発展していくためにも、企業内での体制を継続的に進化・発展させていく必要がある。情報セキュリティーポリシーを策定するだけにとどめず、 (a) 情報セキュリティー対策の具体的計画・方針を策定し、（Ｐｌａｎ） (b) その計画に基づいて、対策を実施し、運用を行い、（Do） (c) 実施・運用状況に対して監査を行い、（Check） (d) 監査状況等をもとに経営層による見直し、改善を行う。（Act）という「PDCA サイクル」を実施することにより、情報セキュリティー体制の確立・拡充を図っていくことが大切になる。（３）責任体制の確立 (a)情報システム／情報セキュリティー担当役員の任命情報セキュリティーの先進国である米国の金融機関の一部では、既に情報システム、情報セキュリティーの専門性を持った者が最高経営責任者（CEO）に指名されているケースもあるが、日本でも情報資産の重要性が高まっている状況を鑑みれば、取締役会へ参加する役員が情報システムあるいは、情報セキュリティー担当役員として任命されなければならない。取締役会での意思決定を直に聞き、また、意見を述べることができることが大切である。 (b)担当役員主導の情報システム／情報セキュリティー組織の運営 PDCA サイクルを有効・効率的に運用するためにも、社長あるいは、担当役員を長とした運営体制（委員会／プロジェクト）が組織されなければならない。 (c)加害者としての危険性の認識を持つこと一般の事件・事故に巻き込まれても、被害者が加害者になることはまずない。しかし、情報セキュリ（ 3 ）ティー事件・事故の場合、被害者が加害者になることが珍しくない。例えば、個人情報が外部に漏洩したり、コンピューターウイルスの被害を受け、取引先との間の重要情報が電子メールに添付されて外部に送付されてしまうことがある。本来は被害者であるはずの企業・組織が、情報セキュリティーへの対応が不十分であったために、加害者としての立場になることが多くなっている。別紙に例示した事故・事件では、企業や自治体の情報管理の甘さが原因で加害者になってしまった実例である。もはや、情報セキュリティー対策を実施しなかったことが、事件・事故の加害者になる危険があり、その内容によっては、大きな損害を企業・組織にもたらす恐れがあることを認識すべきである。 (d)アウトソース（外部委託）業務管理規定の策定アウトソースを行う場合、自社内での管理方法、委託方法、システム開発では、開発作業場所、データ、開発用コンピューター等について取り決めや事故・事件発生時の責任区分等を契約書に盛り込む等、アウトソース業務における管理規定を策定することが大切である。２．情報セキュリティー技術の修得・蓄積（１）情報セキュリティー技術・管理への対応 (a)ネットワーク、ウェブ（Web）の基礎的知識の蓄積最近の情報漏洩事件の多くは、ウェブサイトを運営する際に必要となる最も初歩的な情報セキュリティーの知識さえも当事者企業は関知していなかったことが原因と見られている。担当者が業務遂行に必要な知識を持ち、その知識が組織として継続して蓄積されていくことが、技術面での第一歩であると言える。 (b)アウトソース先管理業務をアウトソースする場合、委託先の情報セキュリティーの知識を含め、技術レベルを把握しておく必要がある。可能な限り、各アウトソース先の特徴を把握し、それらの情報を定期的に更新し、蓄積しておくことが大切である。（２）情報セキュリティー要員の育成・教育 (a)情報セキュリティー文化の周知・啓発インターネットやイントラネットの普及や常時接続の増大に伴い、利用者一人一人に情報セキュリティーの重要性を周知する必要がでてきた。いわば、情報セキュリティーを企業・組織での一つの文化として定着させる必要がある。例えば、OECD（経済協力開発機構）は、今年８月に情報セキュリティーガイドラインの見直しを行い、情報セキュリティーの重要性を世間に幅広く認識させるために「a Culture of Security（セキュリティー文化）」の概念を導入し、ネットワーク社会の参加者は、すべて情報セキュリティー確保の責任を有すると述べている。この考えはヨーロッパをはじめとする各国政府や、国際的な議論の場で幅広く理解され、支持されつつある。 (b)専門家の育成メインフレームを導入している多くの企業では、基本ソフトウエアやミドルウエア等の導入やバグ修正等を行う「システムプログラマー」がいる。システムプログラマーの知識が、ベンダーのシステム担当者よりも豊富であることすら珍しくない。インターネット時代になり、オープンシステム、オープンネットワークでは、システムプログラマーに該当する人達が企業内部に非常に少なくなってしまった。情報セキュリティーの重要性を考えると、システムプログラマーに該当する人達、情報セキュリティー・スペシャリストの育成が重要になってきた。ＩＳＰ（インターネットサービスプロバイダー）、ｉＤＣ（インターネットデータセンター）では当然のこと、自社で独自にネットワークを運営している企業においても、これらの要員の育成が重要である。（３）リスク管理体制の確立 (a)脆弱性情報の収集情報セキュリティーポリシーの策定には、情報システムのリスク評価を検討する必要があるが、リスク評価には脆弱性データが欠かせないものである。しかしながら、従来、国内では、システムは 100% 安全との考えに立ち、脆弱性の存在を前提としないことが多かったため、脆弱性データを収集する体制の確立が立ち後れている。このため、リスク評価、特に詳細なリスク評価ができず、費用対効果を明確に算出できないといった問題が発生している。（ 4 ）米国では早い時期から、また、韓国でも最近、脆弱性情報の収集を始めている。システムの脆弱性データだけでなく、侵入事件について、侵入を許した原因、被害規模、侵入防止策等の情報収集も必要になる。第三者機関、大学・研究機関・ＮＰＯやベンダーでの収集も必要となるが、各企業、行政組織でも、重要な事故・事件を未然に防ぐための費用や、事故・事件発生時の復旧費用を、日頃から算出し、評価しておく必要がある。 (b)情報公開：信頼性の確立情報セキュリティーの問題があったことを公表すると、顧客の信頼を失うのではないかと危惧し情報を隠しておくということがしばしばある。しかし、顧客は正しい情報が公開されることを求めている。適切な情報が公開されなかったことが後に明らかになると、より大きく信頼を損ねることになる。特に個人情報を扱う場合には、個人の信頼感、安心感に大きな影響を及ぼす。このため、重要な個人情報を扱う企業等の場合は、１つ対応を間違えると経営問題に発展する可能性は十分にある。最近の住民基本台帳システムの例を見ても、政府・自治体が安全であると宣言しても、多くの国民が納得しないのはその一例であろう。確かに、反対者の意見の中には、荒唐無稽な意見もあるが、情報公開が行われていないため、誤解や不安を助長し、不安感、不信感をもたらしているのが原因であるとも言える。政府・自治体や重要インフラ業種、個人の重要情報を扱う病院等では、基本的な情報システムのセキュリティに関する情報公開によってこそ冷静な議論が可能になり、多くの不安や誤解を解くことができる。３．その他（１）自主基準・法制度について (a)自主基準・業界ガイドラインの作成情報セキュリティーをとりまく激しい環境の変化においては、法律・政省令だけでなく、企業あるいは、業界として自主基準、ガイドラインの策定を考慮する必要がある。 OECD（経済協力開発機構）の情報セキュリティーガイドラインでも、インターネット利用者は情報セキュリティー確保のための責任を有することを述べている。一部の先進企業では、自社のウェブ上にセキュリティーポリシーやプライバシーポリシーとして、個人情報等の取り扱いに関する自主基準を設けている。自主基準・ガイドラインの作成により、利用者の信頼を得ることも重要だ。 (b)法律・政省令の見直し国内における法律・省令等では、現在の情報資産の保護に対する対応が不十分であると言われている。無体物である情報資産に対する対策をどのように行うかといった問題や、海外の刑罰に比較し、企業犯罪の刑が軽いため何ら抑止効果がないという問題もあるとの指摘もある。拙速な法律・政省令の改正が望ましいとは思えないが、ネットワーク利用者の情報セキュリティーへの取り組みを促進し、自主基準が実効性のあるものにしていくための広範な議論が必要である。（ 5 ）別紙【情報セキュリティーについて】情報セキュリティーとは、様々な脅威に対して情報資産を機密性、完全性、可用性の観点から正常に維持することであると言われており、機密性・完全性・可用性の英語の頭文字をとって、これを情報セキュリティーのCIA と呼ぶことがある。ここで、機密性（Confidentiality）とは、その情報にアクセスする権限を持ったものだけがアクセスできるようにすることを言う。完全性（Integrity）とは、情報そのものやその処理方法が正確であり、完全であることを言う。可用性（Availability）とは、許可された利用者が、必要な時に情報資産に確実にアクセスできる状態にしておくことを言う。具体的事例として、「機密性」は、銀行の ATM（現金自動受払機）で現金を引き出す場合、キャッシュカードを持っており、その暗証番号を知っている人だけが指定された口座から現金を引き出すことができることである。「完全性」は、１万円を引き出したい場合、常に１万円が ATM から出てくるようになっていることで、現金が出てこなかったり、２万円出てはならない。「可用性」は ATM が稼働している時間帯であれば常に現金の預け入れ・引き出しができるようになっていなければならないということである。【情報セキュリティーに関する主な事故・事件等】１．顧客情報漏洩によるもの (1) ２０００年７月に食品会社が行ったプレゼント付きアンケートの応募者、約５万人のデータが無防備な状況でウェブに置かれていたため、応募者の電子メール、名前、住所等が外部に漏洩した。 (2) ２０００年５月にエステティック業界大手への資料請求者やアンケート回答者の住所、氏名、年齢、電話番号、電子メール等の情報が無防備な状態でウェブに置かれていたため、外部に漏洩した。 (3) ハイテク関連雑誌等を出版している米国企業のサイトのセキュリティー対応が非常に悪かったため、約１2,500 人の応募者の住所、氏名、メールアドレスと一部の応募者のクレジットカード番号が公開されてしまった。このため、クレジットカード番号が公開された約 50 名に対して一人５００ドル（約６万円）を支払い、ニューヨーク州等三州に対して、調査や消費者教育のために、10 万ドル（約 1200 万円）を支払い和解した。 (4) 1998 年、京都府下の自治体で約２２万人の住民基本台帳データが委託先から漏洩し、住民３名が自治体に対して損害賠償を請求し、市は一人当たり 15,000 円の支払いを命ぜられた。 (5) 1994 年 12 月、東京都の特別区の健康診断データ９万件が流出し、名簿業者に販売されていた。データには、住所、氏名、電話番号、生年月日等の他、身長、体重、尿、血圧等の検診データが記録されており、「がん」、「高血圧」等の既往症のデータも含まれていた。２．金融機関における事件 (1) 2000 年 5 月、国内にある米国大手銀行の複数の顧客口座から 360 万円余りを勝手に自分の口座に振り込んだ同行の元派遣社員が逮捕された。この犯罪では元派遣社員の犯行であったが、同行のインターネットバンキングシステムでは、部外者でも簡単に類推できる可能性が指摘されている。 (2) 1994 年 12 月、都市銀行のシステム関係の行員と暴力団組長らが共謀して、顧客のパソコンを利用して銀行のコンピューターにアクセスし、顧客口座から合計 16 億円余りを不正に他行の口座に送金し、1 億 4000 万円を引出した。 (3) 1995 年、ロシアのハッカーが米国大手銀行のパソコンバンキングシステムから、海外の銀行口座に送金を繰り返し、1000 万ドル（約 12 億円）盗み出した。 (4) 1981 年 10 月、東京の相互銀行の支店に「Ｋ社の者だが機械のテストをするからＳ支店の口座へ 3500 万円の入金操作をしてほしい」と指示し、預金係主任が本店からの指示と信じて操作を行った。共犯の女性が事前に開設してあった口座に入金がされた時間頃にＳ支店で 3000 万円を引き出し、騙し取った。 (5) 1985 年、同様な事件が郵便局でも発生しており、郵便局の窓口の係員に「すぐにお金を持ってくるので、この通帳の預金口座に入金しておいて欲しい」と頼み、入金手続きを行なわせ、他の（ 6 ）郵便局の ATM 端末から現金 1100 万円余りを引き出した。３．ネットワーク、ウェブサイトへの攻撃 (1) 最近大きな被害が報告されているウイルスやワーム等の有害プログラム（Klex、Badtrans、Nimda、 Sircam、CodeRed 等）では、導入されているソフトウエアの「既知のセキュリティーホール」を利用して感染を広げている。全てのセキュリティーホールに迅速に対応することは困難であるといえるが、セキュリティーホールへの対応策が公表されてから、最短でも１ヶ月程後に有害プログラムが発見されている。重大な被害をもたらす恐れのあるセキュリティーホールへの対応が有害プログラムが発生する前に行われていれば、被害を最小限に食い止めることも可能であった。 (2) 2000 年２月に発生した米国商用サイトへの DoS 攻撃（サービス拒否攻撃）により、いくつかの商用サイトが 30 分から３時間程度の業務停止に追い込まれ、被害を受けた商用サイトの一つは 3 時間に渡って業務が停止し、数百万ドル（４∼５億円程度）の被害を被った。 (3) 1988 年 11 月に発生したインターネットワーム事件では、インターネットサーバーのプログラムの脆弱性を利用して感染が広がり、インターネットに接続されていた約 6,000 台、全体の約 10%のサーバーが機能しなくなり、インターネット全体が機能不全に陥った。（以上）（ 7 ）