1. 情報セキュリティブログ ホーム
  2. ITスペシャリストに聞く
  3. 山口補佐官の憂鬱(前編)~かくも険しき情報セキュリティの道~

山口補佐官の憂鬱(前編)~かくも険しき情報セキュリティの道~

補佐官が斬る!情報セキュリティ版「国家の品格」とは?

日本政府のセキュリティ対策について、みなさんはどれくらい知っていますか? 国民の情報や省庁の機密情報の管理から、サイバーテロ対策まで、政府の情報セキュリティ対策は多岐にわたります。
今回は内閣官房情報セキュリティセンター(NISC)の「スーパー補佐官」こと、山口英氏にお話を伺いました。奈良先端技術大学の教授でもある山口氏。二足のわらじ生活には、少なからぬ苦悩があるようです...。

山口 英氏

山口 英氏
(内閣官房情報セキュリティ対策推進室 情報セキュリティ補佐官
/奈良先端科学技術大学院大学 情報科学研究科教授)

1964年静岡生まれ。大阪大学基礎工学部卒。奈良先端科学技術大学院大学 情報科学研究科教授。工学博士。2004年4月より内閣官房情報セキュリティセンター(NISC) 情報セキュリティ補佐官に就任。2006年4月より内閣官房電子政府推進管理補佐官を兼務。

日本の情報セキュリティ政策の立案部隊として

★内閣官房情報セキュリティセンター(以下、NISC)について教えていただけますか?

―その前にまず、内閣官房とは何かというところから話しましょう。というのも、ほとんどの人が内閣府と間違えているんですよ。内閣官房っていうのは、官邸、つまり総理と官房長官から直接指揮を受ける、総合的な政策立案調整部隊なのです。一方、内閣府は省庁横断的な政策についての実施部隊。それぞれの政策領域毎に国務大臣が指揮をとっています。というわけで、内閣官房というのは、政府全体を見渡して、必要な政策を作り、各省庁に実施を促してくところです。

★NISCは、政策の中でも、情報セキュリティ関係の政策立案や調整を行うということでしょうか。

―はい。それに加えて、各省庁単独ではできない横断的な事業に関してパイロット事業として立ち上げていくこともあります。一般的には、内閣府に省庁横断型事業を作るのだけど、それが即座にできない時もあるのでね。それからもうひとつ、我が国の国家安全保障にかかわる領域については内閣官房が全体を統括してやりましょうということになっています。もちろん、外務省とか警察庁とか公安調査庁とか法務省とかいろいろなところがかかわっているんだけど、最終的に内閣官房が総合調整する形になっている。そういったところでもサイバー関係のことを取り扱わなくちゃいけないよね、ということで、現在のような役割分担になっています。
つまり、情報セキュリティ関係の政策を全体として統括してますよ、それからいくつかのパイロットプロジェクトも実施もしていますよ、国家安全保障に関わる政策の中でサイバー関連事項の総合調整もやっていますよ、という感じですね。

★サイバー関係への対策を政府として行うという明確な方向性はいつ頃から出てきたのでしょうか?

―2000年に、政府のウェブサイトが書き換えられました。これが、当時の政府にとっては相当ショッキングな事件だった。そこで、内閣官房が情報セキュリティ対策推進室なるものを設置しました。(2000年2月29日)。現在のNISCの前身となる組織です。2005年4月に現在のNISCという形になりました。

★スタート地点は、サイバーテロに対する防衛だったんですね。

―そうです。また、その後、9.11が起きて、Fight Against Terrorism(「テロと戦え!」)という流れに日本は乗ってしまった。情報セキュリティの政策を決めるにあたり、2006年2月に第一次情報セキュリティ基本計画というのを作ったんですが、2006年以前の政策は、「サイバーテロをどうやって押さえるのか」というのが、メインテーマになってしまった。

★「なってしまった」? 何か問題があったのでしょうか?

―サイバーテロ対策をメインテーマに据えることで、経済、社会システムの側の情報化とか、国民生活の情報システムの依存といった問題が見落とされてしまったんですね。 どういうことかというと、ビジネスの仕方も暮らし方も、いろいろなところで情報システムが普通に使われ、それがないと困るという状態になっている。これを「情報システムの基盤化」と私は呼んでいます。つまり、今まで情報システムがなくてもなんとか代替手段で回せるようになっていたものが、情報システムがなくてはならないものになってきた。そうすると、情報システムが何らかの形でダウンすると、昔より確実に、みんなが困るわけです。ダウンしたときの影響が局所的な事態として抑えきれなくなってきている。サイバーテロの問題も大切なんだけど、もっと身近でリアルで、深刻な問題が置き去りにされてしまったということです。
僕が補佐官を頼まれた時に言われたのが、「そこをなんとかしてくれ」ということでしたね。

★では、第一次基本計画の意味は?

―あれはショック療法だったんですね。行政の気づきを喚起する。どの行政領域もITが入ってきている。そこのセキュリティ対策を、やるやらないも含めて、どういう風に考えていくのか。まずは、考えるっていうことの意識づけをしないと前に進めないですから。企業や個人と同じように、行政機関だって、ITを使う以上は情報セキュリティ対策に一定の役割を負うのだということを気付かせるために作ったわけです。
そういった意味では第一次基本計画っていうのはまだまだ荒いんです。荒いんだけど、最初の一歩としてはよかったんじゃないかと思っています。
ただ、今後は国全体での「情報システムの基盤化」を踏まえた政策を考えていくという方向に進んでいくでしょうね。

日本のトップの情報セキュリティ理解度は?

★企業では、情報セキュリティ対策というと、「トップが理解してくれなくて困る」といった話をよく聞きますが、国のトップの理解について、補佐官としてどのような印象を持っていらっしゃいますか?

―今のトップは理解がありますよ。まず、福田首相には理解がある。総理はいつも、「危機的状況が起きたときに本領を発揮できない政府なんて意味がない、だからセキュリティ機能というのは非常に重要だ」というようなことを言われている。そして町村官房長官も同じように大変理解があります。僕らの直属の上司は町村官房長官ですし、町村長官の理解があるということは政府全体に影響を与えますから非常によいことです。それから大臣たちも結構理解がありますね。

★皆さん理解があるんですね。

―いやそれで問題はね、役人なんですよ。くだけて言っちゃうけど、これはもう、だめですね(笑)。いろいろ理由はあるんだけど、一番の問題は、今の役所の中で現場を統括する管理職の人たちというのは、技術を知らない人が多すぎるということ。

★いわゆる「キャリア」と呼ばれる人たちですね。

―特に文系出身の管理職が圧倒的に多い。これはもう出自からしてわかるように、技術を使うという経験が圧倒的に不足しているんです。技術を使い、情報の活用を電子化することによって、創造的な仕事が行えるようになるといった経験が希薄なんですね。プロジェクトを進めるにしても、そのことが、情けないくらいに、ボディブローのように効いています。理解とかそういう前に皮膚感覚としてない。エクセルやワードを使ったり、電子メールを送ることだけが電子化した事務なのだと平気で思っているようなところがある。コンピュータを使った非効率的な仕事の進め方をこっちが指摘して初めて「あ、そうですねー」なんて言っている。技術に対する皮膚感覚がない現場監督に、情報セキュリティをやれといっても無理ですね。

★でも、皮膚感覚って、誰にでも備わっているものじゃないし、身につけようとしてつけられるものでもないですよね。皮膚感覚がない役人はどうすればいいんでしょうか?

―「おまえら専門家の言うことを少しは聞けよ」と言いたいですね。『不都合な真実』という映画は観ましたか?その中でゴアが言ってるんですよ。「専門家が合理性のある理由を持って、これは問題だと指摘した時は、政治家も含めてその領域のわからないアドミニストレーター、行政マンはちゃんと聞け」ってね。まさにあれなんです。彼らにとって不都合な真実は山のようにあって、ピタッと耳を閉じてしまうからね、もう全然だめなんですね。
もちろん現場で頑張っている人たちはたくさんいるんですよ。現場ができてないというよりも、中間管理職が問題。そのあたりが政府のセキュリティ対策での根本的な問題かな。

★企業における悩みとはまた違いますね。ところで、そんなにいろいろ言ってしまって大丈夫なんですか?

―それが大丈夫なんですよ。これは日頃から言っていることだから、全然大丈夫。とにかく、そういった意味では、民間の企業とはちょっと違うということです。

「統一基準」の難しさ

★現在、NISCが取り組んでいるプロジェクトのひとつに、各省庁の情報セキュリティの対応をまとめた政府統一基準があります。これは、各省庁に情報セキュリティを任せるのには限界があるという問題への対応ということでしょうか?

―そうなんだけど、最近は批判が多いですね。「政府統一基準はボロすぎる」って(笑)。特に個人情報を大量に扱っている自治体や企業からは批判があります。たとえば、企業で「顧客情報」なんていったら、ものすごくきちんと管理しているじゃない。それにひきかえ、政府統一基準はこれでいいのか?なんていうことを言われています。ところがですね、官庁すべての統一基準っていうのは非常に難しいんですよ。これは企業でも同じなんだけど、「全社統一のなんとかのルール」なんていうのは、たいていだめなんですね。本当は現場に応じたローカライズがちゃんと効くようなルールを作っていかないといけないんだけど、それが難しい。なんとかしなくてはいけないんだけど、それを政府の中でどうするのかという課題はある。政府統一基準は、各省庁が参照して、各省庁毎に適切な管理構造を作ることを促すようになっているのですが、そもそも管理構造がどうあるべきかを考えること自体が、役人にとっては難しいことだったのですよ。
この前宮内庁の話を聞いたんですけどね、宮内庁には、墳墓があるところに宮内庁の事務所があるんだそうです。そこも庁内ネットでつながっているわけ。で、そこの情報システムに関われるスタッフというのが、1名とか2名で、別に情報システムの専門家でもないのに、何でもやらないといけない。その人たちにセキュリティポリシーを作れとかね、監査やれとかいってもどうしていいかわかんないですよね。他にも、各省庁毎に小さな事務所は全国に散らばっている。そういうところに、セキュリティポリシーをこうしろああしろって言ったってね...

★できないですよね。

―でも、それでも情報セキュリティ対策はやんないといけないんですよ。やんないといけないんだけど、難しいわけだよね。そういったところにもちゃんと、自分たちで考え、どういうルールを運用していくのかということを考えることができるような、各省庁毎の体系的なフレームワークを作れればいいんだけど、各省庁は既存の組織構造に引っ張られて、新たな管理構造が作れないから、形だけは統一基準に合わせる。それで結局、実際の対策も統一基準に書かれていることだけをやってりゃいいんだってことになっちゃう。これは非常に由々しき問題ですね。

★たとえば、経産省と宮内庁では文化もまったく違いそうですしね。

―そうですよ。だけど、情報セキュリティ対策をやらないわけにはいかないわけで、各省庁はやるんでしょ?っていうのがベースにある。そもそも、ちゃんとセキュリティできるんですか?って言ったときにできないから、上手にやる方法を統一基準として出しているわけです。それだってうまくできないし、ルールを改訂すれば、対応するのに2年かかるだ3年かかるだと文句を言う。スピード感が全く違いますね。一方で、統一基準を適用するのが難しいことを理解した上で、本質的に情報セキュリティ対策に取り組む人たちが出てこないと困るなあ、難しいなあ、というのが本音ですね。

★情報システムがわかる人間がキャリアに少ないというお話に戻るわけですね。

―そう。情報システムの重要性が分からない人間がたくさんいて、どうなの?と。

★重要なところに優秀な人間がいないというわけですね。情報セキュリティをやっていると出世できないから...なんて話も聞きますが、本当なんですか?

―ああ、それはですね、情報セキュリティをやってるとですね、なかなか出世できないですね(笑)。どういうことかというと、これまでにサクセスストーリーがないんですね(笑)。

★今後、山口さんがサクセスストーリーを作っていく?

―僕じゃないほうがいいと思いますね。僕の気持ちとしては大学がメインなんですよ。そもそも、情報セキュリティ補佐官をすることがサクセスなのかと。あんまりグっとこない。学生と一緒になって研究して、知らない新しい技術を生んで・・・大学人としてまっとうしたいんです。そういうほうがね、僕にとっては幸せな人生だと思うんですよね。

★なるほど。補佐官としてのサクセスストーリーを描いていないからこそ、ダイナミックな意見を発信できるのかもしれませんね。それでは、次回は大学人としての山口先生のお話をお聞かせいただければと思います。

後編は6月上旬公開予定です

関連キーワード:

NISC

サイバーテロ

セキュリティポリシー

  • SQLインジェクション攻撃を仕掛けるワームが出現
  • カテゴリートップへ
  • NDRスパムとは