私は、去る6月3日（火）〜4日（水）の両日、東京国際フォーラムで開催された「RSA Conference 2003 Japan」に参加してきました。会場はご存じの通り、JR有楽町駅国際フォーラム口すぐです。今年は、不思議と東京国際フォーラムに縁があり、5月に開催されたthe Microsoft Conference + expo 2003」と、「IBM Software World 2003 LotusDay」に続いて3度目です。

いつも通り、B1Fの受付に行き、事前登録しておいたセッションを回ってきました。本カンファレンスでは、暗号技術、標準化等の技術テーマから、情報セキリティ管理、モバイル＆ユビキタス関連の 9トラックが用意されていましたが、私の現在の仕事に直接関係している、公共・自治体関連の情報セキリティ動向、情報セキリティ管理のセッションを重点的に受講してきました。
以下に非常に興味深かった3セッションを報告します。

●注目のセッション

＜トラック3：政府調達の現場と情報セキュリティ＞

◎3-1「情報セキュリティ政策　〜最新の動向と今後の展望〜」
講師 大野 秀敏 氏
経済産業省商務情報政策局　情報セキリティ政策室長）と、

◎3-3「電子政府、オープンソース＆情報セキュリティ」
講師 武藤 佳恭 氏
慶應義塾大学環境情報学部 教授

前者は、電子政府に盛られている情報セキリティ政策の動向が要領良く整理されていました。具体的には、ITセキリティ評価・認証制度（ISO15408）、暗号アルゴリズム評価、PKI、電子署名、情報マネージメントシステム （ISMS、BS7799、ISO17799）の動向と国際間での相互認証の動き、情報セキリティ監査制度の創設と、制度の基盤としての人材育成（セキュリティプロフェッショナル）とスキル体系です。
特に、私達技術者からすると、このスキル体系に基づく、人材育成の考え方は、従来の情報処理技術者マップ、キャリアアップパスでは包摂できない、幅広いセキリティ技術をターゲットしており、非常に興味深く感じました。

後者は、大変刺激的な講演で、電子政府では、オープンソース手法で、セキィリティ問題が解決されるかのように議論されているが、セキリティ問題がソフトウエアのバグ、セキリティホール、脆弱性や、ソフト利用者側の設計、設定ミスに起因する以上、容易に解決しない問題である事を明記せよと単刀直入に切り込みます。返す刀で、主要なOS、アプリケーション類のセキリティホールの評価を行い、オープンソースが、ベンダー製品に比べて、セキリティホールが少ないわけではないことを実証します。

また、ウイルスによる攻撃にしても、攻撃側と防御側の情報量、情報共有の非対称性（攻撃側の圧倒的有利）があり、ウイルス対策ソフトのパターンをいくら上げても、次から次へと新種ウイルスが生まれており、防御しきれないといいます。
世界のハッカーのお祭りである DEFCON は世界から 5､000名が集まり、密接に情報交換がされているが、防御側は、不幸にも新聞沙汰にでもならない限り自分が攻撃された事など公開しないので、情報共有など進まず、同じような攻撃を受けて結果に陥ってしまうと指摘されました。ちなみに、本カンファレンスの受講者は、約1､000名（主催者発表）とのことです。

通常防御は基本的に外部からの攻撃を想定しているが、サイバー犯罪を分析してみると、何とその 91% が内部犯行であり、性善説では到底防御できない。以上から、100% のセキリティ防御は不可能であり、攻撃された場合に、どれだけ即時に回復できるかの仕掛けが肝要。性悪説に立った内部統制（組織、ルール、システム的仕掛け）が重要との結論に至る。
この論の展開は、非常に明快で、攻撃者と防御者の情報の非対称性と、性悪説は、耳に痛いですが、情報セキリティに関わる者にとっては、非常に重要な教訓となると感じました。

＜トラック4：情報セキリティと企業の危機管理＞

◎4-4「情報セキリティ監査制度の開始と最新動向」
講師 山崎 琢矢 氏
経済産業省 情報セキュリティ政策室 課長補佐

本セッションは、「情報セキュリティ政策　〜最新の動向と今後の展望〜」の概論に対して、情報セキュリティ監査制度の各論にあたります。

昨年の住基ネット稼動、電子政府の本格稼動の流れを受けて、情報セキリティ監査制度は、官公庁、自治体、企業の情報セキリティ管理システムの普及、成熟化を目的としている。但し、今般の情報システムの進歩は、日進月歩の為、これでOKとする基準は容易には見つからない。その為、成熟モデルを導入し、ISMSレベルを保証する保証型監査の他に、システム成熟を支援する助言型監査が導入されているのが特徴。様々な企業の参入を促進し、監査を受ける自治体、企業の利便と為、情報システム監査企業台帳制度をたちあげたそうです。

今回の監査制度のドラフトの取りまとめに際し、パブリックコメントを求めた所、米国政府からの意見提出もあったそうです。
（http://www.meti.go.jp/policy/netsecurity/index.html参照）
将来的には、情報セキリティ監査が、ISO9000、ISO14000と共に、企業の評価基準、いわば格付けに利用されていく方向であることを強く実感しました。

●まとめ
セキリティが、暗号、認証、ウイルス対策、FW、IDS等の個別技術から、法制度、国際的な情報セキリティマネージメントシステム（ISMS、BS7799、ISO17799）、監査制度の整備に伴い、情報セキリティマネージメントとして、全体的に運用、管理されていく流れであり、私たちの周りでもインターネット利用がこれだけ普及してくると、セキリティ対策は避けて通れない私達共通の課題であることを実感しました。こうした貴重な機会を与えてくれたRSA Conference 2003 Japan 事務局に感謝致します。

RSA Conference 2003 Japan の Webサイトへ