「私と情報セキュリティ」
Hear in 100 People
| 防衛庁
運用局長 西川 徹矢 様 |
| 向井: | こんにちは。今日は情報セキュリティについて、いろいろお話をお聞かせいただけますでしょうか。 |
| 西川: | 政府のIT基本戦略が動き出したのが約4年前ですが、私はその年に防衛庁で最初のIT担当参事官になりました。そんな関係で、e-Japanのスタート段階からいろいろな話をお聞きしたり、装置を見せていただいたりして、勉強させていただきました。 当時、国家レベルで本格的電子政府化を目指すことになり、防衛庁でも特にセキュリティについて、アメリカの国防総省の事例をしっかり検討することになりました。ご存知のように、アメリカでは国防総省がセキュリティの最先端を担っていますし、最大級のユーザーでもあります。このような米国防総省がカウンターパートであることは、防衛庁にとってプラスになっています。共同作戦遂行上セキュリティレベルは基本的にアメリカと同じ水準を保つ必要がありますし、また同時に、ある部分ではことさらに傾注して、我々独自のものを構築する必要もありました。 当初、防衛庁のIT戦略として考えたのは、まず基本的なガイドラインを決める。そして、主要事業の一つとして、まず全国レベルのプラットフォームをつくる。これは、どちらかというと組織全体の効率化にかかわる問題もあります。次に、防衛庁独自の取り組みとして、防衛能力を高めるため究極の安全保障システムを追求、構築する。そして、3つ目に情報セキュリティを確立することを挙げました。 ここで、なぜ、3本柱の一つとしてセキュリティを取り挙げたかというと、防衛活動上、特にセキュリティの重要性が高いからです。構築されたプラットフォームが脆弱であったり、武器制御システムなどが改ざんされたり、破壊されると、国の安全と独立そのものが危機にさらされます。したがって、あらゆる局面でセキュリティが確保されていなければ意味がなくなるわけです。今まで整備した防衛用装備が最高の状態で機能することが求められ、それらを支える重要な基盤としてセキュリティがあるという考え方です。 また、この種のセキュリティの他に、そもそも、防衛の仕事は何なのか?というと、国を守ることですので、この面から現代の国家重要インフラ部門の基盤であるコンピュータシステムの防護も視野に入れることとしました。重要インフラについては、各分野の皆さんがそれぞれ一生懸命やっておられているので、防衛庁が直接に何かをするという問題ではありませんが、神経ともいえるそれぞれのコンピュータネットワークがしっかり守られていて、重要インフラが安全だということが国の安全と独立につながるのです。他のところでいくら頑張っていても、我が国の重要インフラが破壊されていたら国防も意味がありませんからね。 また、電子政府のインフラ整備が重要であるということもあって、防衛庁も情報セキュリティについてなんらかの貢献をしなければならないと考えています。一般的には、今まで主に議論されてきたセキュリティは、e−コマース、すなわち電子商取引の分野の方が多いですよね。最近になって、電子政府や、住基システムのプライバシー問題などが大きくクローズアップされてきて、流れに変化がみられるようになりましたが、このe−コマース的なセキュリティについて言いますと、常にコストとの見合いが重要になります。コスト的にペイするのか?損害をどう補えるか?というような視点でシステムを考える分野がかなりあるのだと思います。 ところが、国家・社会の安全あるいはプライバシー保護などの分野では、同じようにコンピュータセキュリティを考える場合でも、コストだけでは測れない問題も多くあるのです。具体的には防衛や警察などの役所では、時にはe−コマース的なコスト観を超えた、より安全なものを追及せざるを得ないことがあります。そういう意味合いから、防衛庁も部外の方々にいろいろ力をお借りしながらも、自分たちの知見を一層高めていくというような、モメンタムを常に継続し、将来的にはe−コマースの世界に何かの役に立ち得るのではないかと考えています。例えば、数年前に内閣府が情報セキュリティ対策室においてNIRTをつくった際も、防衛庁から積極的な提言や活動への参加などを行っております。 これからは防衛庁もこういう「外に対するアプローチ」も大切であり、いろんな角度から、セキュリティをしっかり捉えていくことが必要ではないかと考えています。 |
| 向井: | なるほど、とても良く解りました。西川運用局長は、防衛庁の前は警察庁だったとお聞きしていますが、警察時代セキュリティへの取り組みはいかがでしたか? |
| 西川: | そうですね、話が前後しますが、私が情報セキュリティらしきものに初めて触れたのは、1986年で、本格的に取り組みだしたのは97年頃だったと思います。 和歌山県警時代にはまだそれほど普及していないインターネットやBBSに、全国の県警で最初に取り組みました。その頃、元紀州藩主であり、第八代徳川将軍となった吉宗を主人公にしたNHK大河ドラマが放映され、和歌山では大変な「吉宗ブーム」が起こり、週末になると多くの観光客が和歌山に押しかけました。ほとんどの人が車で来られるので、県警で観光・交通案内マップを作りインターネットのホームページに出しました。また、パソコン通信にも目をつけ、当時は「紀州ネット」と言っていました県内版のネットに掲示板をつくったこともありました。そうこうしているうちに、自分たちだけでやっていてもいけないという声があり、他の県警にも声をかけてだんだん広げていきました。そうなると、ホームページや掲示板で、「改ざんとか、いたずらされない」という意味で、ネットワーク・セキュリティが大事だということになったわけです。 |
| 向井: | そうですか。かなり早い段階からインターネットやセキュリティに係わってこられたわけですね。 |
| 西川: | ただ、少し早すぎて、今から考えるとホームページ等も、インターネットの端末が少なかったので見ている人があまりいなかったかも知れませんね。(笑) 警察庁の情報通信企画課長時代に、全国警察のWAN作りにも関与し、OA化の促進に努めました。警察の仕事では、捜査が大きなウエイトを占めており、多種多様で膨大な捜査情報が処理されております。これらの情報の管理というものは厳格であるべきものであり、甚だしきは、情報の漏洩が人の生命にかかわるケースもあると言われています。事件が発生した時、「疑わしきは罰せず」は裁判における基本原則ですが、警察では「疑わしきは捜査する」ということが基本原則であります。情報には、噂、流言、風聞など、いろいろなものがありますが、いずれにあっても「警察で管理する情報はすべて厳格に保全されなければならない」という現場のニーズがあります。 そこで問題になったのが、データベースの構築運用のあり方でした。警察でも、情報システム上のデータベースが重要な役割を持ちますが、「ネットワーク」でつながっている以上はセキュリティ上危険性がある、どう構築運用すべきかという激しいやりとりがありました。 ちょうど、その頃、私はヨーロッパへ視察の機会がありました。イギリスや、ドイツ、フランスなどの国々では、いずれもセキュリティについて現実的な厳しい対応をしており、考えの甘い国はまったくありませんでした。我が国よりもはるかに危機意識が高くて、セキュリティ分野についての研究や対策も進んでおり、私にとっては大いに参考になるものばかりでした。とりわけ、各国のシステムを見たり、専門家と意見交換を行うことにより、データベースをネットワークに接続する際には、彼等がきわめて慎重な態度をとっていることが分かりました。そんなこともあり、帰国後は東奔西走し警察のシステムを、クローズ系とオープン系の2つに区分けしたネットワークを作り、高いセキュリティレベルを確保したところであります。 |
| 向井: | なるほど。率先垂範といいますか、警察のシステムが堅牢だと安心できますね。 和歌山のセキュリティ・シンポジウムが始まったのはその頃でしょうか? |
| 西川: | そうですね。私が警察庁の情報通信企画課長に異動になった翌年、「コンピュータ犯罪に関する白浜シンポジウム」が始まりました。このシンポジウムが開催されるきっかけは、地元の方々や、和歌山県警関係者から、何らかの形でセキュリティの重要性を広く啓蒙する必要があるとの声が寄せられたことでありました。 当時もセキュリティは金喰い虫とされており、「お金をかけなければ安全にならないが、お金をかけると利益を圧迫する」との声が多々ありました。これらの動きに対抗してセキュリティの重要性を啓蒙するためには、警察とか、公的な立場から旗をふってその重要性を訴えていかなければ、セキュリティ分野が立ち遅れてしまうと考えたわけであります。そのようなことから、パブリックセクターである非営利団体や公のサイドから、有志に集まってもらい色々な形で啓蒙活動をしようじゃないかとなったのです。今では多くの方々の賛同と協力を得て毎春素晴らしいイベントとして継続しており喜んでいるところです。 |
| 向井: | このような取り組みはめずらしいし、素晴らしいことですね。「ネットワーク・セキュリティ ワークショップ越後湯沢」についてはいかがですか。 |
| 西川: | 湯沢ワークショップは今年で4回目ですが、こちらは毎秋開催しています。第2回目から、東大名誉教授の石井威望先生に代表となっていただき、慶応大環境情報学部、東電大工学部等、新潟のNPO、ISACA東京支部等多彩な団体の共催とし、広く防衛庁、警察庁、国土交通省、厚生労働省、経済産業省など中央官庁から後援していただいております。 東京の地からそんなに遠くないところで、ちょっと雰囲気がかわったところに、ネットワーク・セキュリティという軸でいろんな層の人が集まって、自由に議論する「場」を目指して立ち上げました。だから、医療情報セキュリティや、交通情報セキュリティなど、なんでもある訳です。でも、基本はネットワーク・セキュリティです。参加者も、ある部分では専門家だけど、他の分野は知らないことが多いのであり、それぞれ得手・不得手の両面からセキュリティについての話を広く語り合う「場」をつくろうということですね。 防衛、警察という一風変わったところからも参加者が来られるし、大学では法学部や工学部などの方々も来られる。技術者、研究者、ユーザー、営業マン等々多種多様の人が参加しております。有難いことに数年前からその趣旨を御理解いただきIPAにも主催者として参加していただいています。産・学・官も、大手企業も中小もベンチャーも全く関係なく、セキュリティに関心のある人・企業・グループが年に一度集まって、オープンな議論をする「場」として運営しています。こういう趣旨から、参加費も非常に安いし、宿泊所も自由です。お金に余裕のある人は高級旅館に泊まればいいし、車の好きな人は車に泊まってもそれはそれでいいわけです。 私は、日本でも平常の仕事の一部にかかわりながら、やや異なった切り口の人のつながりをもっと大切にしたこの種の催しがあってもいいんじゃないかと思っています。泊り込んで、ナイトセッションに参加し、好きなことを言い合うというのも一種の啓蒙ですよね。これが、なかなかユニークで、結構人気があります。(笑) |
| 向井: | 楽しそうですね。次回は私もぜひ、参加したいと思っています。それでは、話題は変わりますが、今後、注目や期待されている技術やサービスはありますか? |
| 西川: | そうですね。OSのセキュアなものが欲しいと思いますね。素人だからいえることですが、今のOSは非常に多くの機能がある。コテコテのテンコ盛りのような感じですね(笑)。何でも使えますというのは便利だけど、実際はほとんどの機能は使っていない。そこで、例えば、電子政府の基盤システムでプリント機能はいらないというような時に、いらない機能はその余分のデバイスと一緒に大きな塊として外せて、本当に必要な、3つか、4つぐらいの機能から構成される「軽い」もので使えればいいな、という素人っぽいイメージを持っています。速くて、軽くて、安全で、言い換えますと「シンプルで非常に強い」そういう比較的簡単に組み合わせることができる、こういうものが欲しいですね。起動の時から、ユーザーが我慢して待つのではなく、スイスイと自由に、全くストレスを感じることなく皮膚感覚的に使えるような、「シンプルでセキュア」なものができればいいですね。 |
| 向井: | なるほど。それでは最後に、情報セキュリティをキャッチコピーのように一言でいうとどんな言葉になりますでしょうか。 |
| 西川: | そうですね。情報社会では情報の流れというものは、どちらかと言うと軽く考えられがちなところがありますが、私はこれまでの仕事柄、個々の情報にも重いものがあるということを常に肝に銘じてものごとを判断してきました。「情報の重さ」というと、語弊があるといけませんが、情報は人の命、すなわち社会的、生物学的生命にかかわることがあるという意味で非常に重いものなのです。そういう意味で、セキュリティ業務に携わっているあるいはこれから携わる方には、是非とも、この「情報の重さ」を十分に理解し、真摯な姿勢で仕事に取り組んでいただきたいと思っています。 |
| 向井: | はい、よくわかります。今日は大変貴重なお話をお聞かせいただき、ありがとうございました。 |
| UPDATE 2003年 11月 19日 | |