2009年7月16日 (初版 2008-07-10) 駒澤大学 経営学部 教授 西村 和夫 情報セキュリティ A 9. 情報セキュリティ文化 2009年7月16日 (初版 2008-07-10) 駒澤大学 経営学部 教授 西村 和夫
9.1 従業者教育の必要性 情報セキュリティへの取組みの遅れ 1995 年(EU指令)ころから,欧州各国は情報セキュリティに真剣に取り組んでいる. 日本の政府も企業も頑張ったが,欧州に比べてまだ遅れている. なぜ遅れているのか (1) 企業でも / (2) 個人でも
(1) なぜ企業で遅れているのか → 情報処理技術者試験 セキュリティ対策が市場評価に結びつかない → 法律による規制 → 整備中 セキュリティ対策が市場評価に結びつかない → 法律による規制 → 整備中 情報セキュリティ人材の不足 → 情報処理技術者試験 共通の方針を策定しなかった社会風土 教育の不足
(2) なぜ個人で遅れているのか ウイルス対策ソフト ○ 無線ネットワーク (LAN) での利用者限定 △ メールの暗号化 × 現状: ウイルス対策ソフト ○ 無線ネットワーク (LAN) での利用者限定 △ メールの暗号化 × ファイルの暗号化 ×
(2) なぜ個人で遅れているのか 情報セキュリティ対策が当然であるという認識ができない環境 情報技術の分かりにくさ 自己責任の限界 教育の不足 → 次ページ
教育の不足 企業でも学校でも不足 教育を実施している 企業 16 % 大学 33 % 警視庁, 不正アクセス対策に関するアンケート報告書 (2001年): http://www.npa.go.jp/cyber/research/h12/fusei_ac4/4_h01.html (引用: http://www.jnsa.org/houkoku2003/20040518/303_1.pdf )
教育の必要性 各種対策の効果 ソフト購入 73 % 被害に ハード購入 67 % あった 管理者教育 15 % 企業に ソフト購入 73 % 被害に ハード購入 67 % あった 管理者教育 15 % 企業に 従業員教育 0 % ← ついて JNSA, 情報セキュリティインシデントに関する調査報告書(2002年度): http://www.jnsa.org/houkoku2002/incidentreport2002_1.pdf p.48
人材の養成 情報セキュリティ大学院大学 (2004 年) いくつかの大学での授業 (工学系でもまだ少ない)
セキュリティ文化 初出 “情報システム 及び ネットワークの セキュリティのためのガイドライン ― セキュリティ文化 の普及に向けて” “情報システム 及び ネットワークの セキュリティのためのガイドライン ― セキュリティ文化 の普及に向けて” (culture of security) 経済協力開発機構(OECD) 2002年 原文: http://www.meti.go.jp/policy/netsecurity/OECD020917set.htm
日本政府の対応 内閣官房 情報セキュリティ センター (NISC, 2005年4月) 内に セキュリティ文化専門委員会 技術戦略専門委員会
セキュリティづくり 第1回会合 (2005年 8月) 報告書 (2005年11月) ■ セキュリティ文化専門委員会 第1回会合 (2005年 8月) 報告書 (2005年11月) 公開資料: http://www.nisc.go.jp/conference/seisaku/bunka/index.html
■ セキュリティ文化専門委員会 報告書の内容 責任原則の徹底: 企業は,市場との関係に配慮すること (社会的責任) 個人には,共通認識の形成
情報セキュリティ文化 共通認識 (機密性についていえば) 鍵をかけないのが普通 → 鍵をかけるのが当然 戦国時代のような緊張した社会
情報セキュリティ文化 共通認識 (機密性についていえば) 鍵をかけないのが普通 → 鍵をかけるのが当然 戦国時代のような緊張した社会 14