« 個人生活の危機と社会的安全 | メイン | 安全保障と情報社会 »
情報セキュリティーにおけるガバナンス
- 上村圭介
- 国際大学GLOCOM主任研究員
国際大学GLOCOMでは、2004年秋から情報セキュリティーに関連した研究活動を行っている。学際的な視点から、様々なテーマの下で情報社会研究を進めることがGLOCOMのミッションの一つではあるが、今になって情報セキュリティーがGLOCOMの研究の対象になったということについては、恐らく若干の説明が必要だろう。
これまで国際大学GLOCOMは、汎用トップ・レベル・ドメイン名の管理・運用を行うInternational Corporation for Assigned Names and Numbers(ICANN)、2000年に開催された九州・沖縄サミットを契機に設置されたデジタル・オポチュニティー・タスクフォース(DOTフォース)、2003年と2005年に国連と国際電気通信連合(International Telecommunication Union:ITU) の共催で開かれた世界情報社会サミット(World Summit on theInformation Society :WSIS)などの場に参加し、ガバナンスのための仕組み作りに貢献してきた。
ここでいうガバナンスとは、「だれが」「どこで」「何を」決めるかという問題と言い換えてよい。つまり、誰が意思決定に参加するか、どのような場で意思決定が行われるか、そして、その場でどのような意思決定がなされるか、という問題である。
そして、情報セキュリティーの分野でも、まさにこの意味でのガバナンスが次第に問われるようになっている。情報セキュリティーがわたしたちの研究テーマの一つとなったきっかけも、情報セキュリティーが単なる技術論だけに留まらない、また国家安全保障という大きな枠組みで括りきれないガバナンスという新しい問題として拡大してきたからなのである。
「ガバナンス」の広がり
情報セキュリティーにおけるガバナンスとひと口に言っても、その内容はいくつかの異なる課題を含む。近年特に注目されているのは、企業や組織内の意思決定の流れの中に情報セキュリティーをどのように位置付けるか、という意味でのガバナンスである。しかし、多くの企業や組織にとって、情報セキュリティーは、それ自体が直接利益に結び付くものではなく「後ろ向き」の投資と捉えられがちである。このような一見後ろ向きの投資にポジティブな価値を付加することは、個別の企業や組織だけの努力でできることではない。それには環境問題への取り組みがそうであったように、産業界全体の、あるいは政府や消費者まで巻き込んだ社会全体の取り組みが必要である。
そもそもインターネットを始めとする情報通信技術は、民間部門主導で構築、整備が進んできた。情報通信インフラの約九割は民間部門によって保有されているという。もちろん、電気通信分野など、伝統的に政府の強い規制の対象となってきた分野もあるが、情報通信全体を考えれば、政府以外の主体、とりわけ民間事業者が構築や運用においては大きな役割を果たしてきた。また、電気通信の分野であっても規制緩和や民営化は世界的な潮流であり、その意味でも、民間部門、あるいは産業界が、情報通信全体に、そして情報セキュリティーという課題において果たすべき役割は大きい。一方で、情報通信インフラが社会経済活動に不可欠な要素と位置付けられ、安定的な運用やセキュリティーが求められるようになっている。そこには政府などの公的な主体の視点からの意思や利害と、企業などの民間の主体の意思や利害が混在し、時には対立することになる。インターネットや情報通信インフラそのものが異種混在(heterogeneous)な環境であるというのと同様に、それを構築・運用する主体にも政府機関、民間企業、研究・教育機関、非政府組織など様々なものがあり、総体として異種混在な環境を構成している。
一つの例:コンピューター・インシデントの危機管理のための枠組み
情報セキュリティーの分野においてガバナンスがどのような問題になりうるか、ここではコンピューター・インシデントの危機管理のために設置されているComputer Emergency Response Team(CERT)あるいはComputer Security Incident Response Team(CSIRT)と呼ばれる組織体について見てみよう。
CERTあるいはCSIRTと呼ばれる組織として最初に設立されたのは、アメリカのカーネギー・メロン大学のソフトウエア工学研究所に設置されたComputer Emergency Response Team(CERT)である。これは、1988年11月に発生したコンピューター・ワーム事件が契機になったものだが、その後同様の組織作りは他の国や、他の技術分野にも拡大していくことになる。ちなみに、CERTという名称はカーネギー・メロン大学が商標登録したため、現在では一般的な呼称としてはCERTではなく、Computer Security Incident Response Teamの略であるCSIRTが使われる傾向にある(発音はどちらも同じ)。
CERTの運営は、国防総省高等研究計画局(Defense Advanced Research Projects Agency :DARPA)の資金を受けて行われた。このことはCERTが国家管理下にあったというよりも、むしろインターネットの開発や運用がDARPAの資金を受けつつも、実質的には技術コミュニティー主導の下におかれたように、インターネット上のコンピューター・インシデントに関する対応もインターネットの技術コミュニティーに委ねられたと解することが自然だろう。
しかし、このような状況は、その後インターネットが政府機関や民間企業など幅広い主体によって構成され、また社会経済上の役割が変化することで次第に変わっていく。そもそもCERT/CSIRTの組織形態は国によって異なる。アメリカはCERT/CCのように、従来のインターネット技術者コミュニティー中心の活動を進めている。ヨーロッパでは公共、民間といった部門ごとのCERT/CSIRT活動が中心となっているところが多い。日本や韓国では、セクターをまたがった中立的な組織を作り、そこにCERT/CSIRT機能が集約されている。
コンピューター・インシデントの対応のための枠組みには、このような多様性があるわけだが、ガバナンスということを考える際に重要なのは、どのような組織形態がよいかということではない。問題は、このような異なる設立経緯や組織形態を持ったCERT/CSIRT同士が、どうやったら効果的な情報交換を行えるかという点である。
情報セキュリティーに関する障害は、その性質上、国家やセクターの境界線を越えた影響力を持つことが珍しくない。そこで、セキュリティーに関する障害を予防し、あるいはその影響力を最小化するためには、情報セキュリティーに関する障害や、それへの対策に関する情報を相互に共有し、公開することが必要とされる反面、情報セキュリティーは、企業秘密、あるいは企業秘密には至らなくても対外的には開示しにくいセンシティブな内部情報を扱うものであり、対策機関の多様性が逆に適切な対策や情報共有を妨げるおそれもある。セクター別のCERT/CSIRT、とりわけ政府機関を対象にしたCERT/CSIRTが設立される背景には、内部情報を他の組織と等しく共有することの難しさがあると思われる。CERT/CSIRTの社会的責任の拡大と、国際協力体制の確立は、インターネットや情報技術の広範な普及とともに重要な課題となってきた。
CERT/CSIRTがセクター別、あるいは企業別に設立されるようになると、CERT/CSIRTの運営スタッフ同士の親密な人的ネットワークが希薄になる。しかし、従来のCERT/CSIRTの間の信頼関係は運営スタッフの人的ネットワークに大きく依存していたため、それが希薄になるということは、CERT/CSIRT間の相互信頼関係の低下を招きかねない。CERT/CSIRTの間では、Trusted Introducerと呼ばれる制度を導入し、信頼関係の維持を図っている。
新たな課題
ある専門家によれば、かつて、企業の情報セキュリティー担当者にとって最も信頼できる相談相手はライバル会社の情報セキュリティー担当者であったという。同じ業種であれば、情報セキュリティー上の問題点、それに対して取るべき解決策も似たものになるはずである。しかし、情報システムはある企業や組織の事業や業務の中枢を担っていることが多く、その情報システムに関わる情報をライバル企業の担当者と共有することは難しい。
警察など公的な機関が相手なら情報が共有できるかというと、必ずしもそうではない。企業が持つ企業秘密がライバル企業に漏洩する場合、その多くは内部的な犯行によることが多い。しかし、このようなケースを企業が警察に届けないことも珍しくない。このような事件は企業のブランド力など対外的な評価を左右することにもなるからである。アメリカでは、このような事件を捜査する専門のコンサルタントが活躍し始めている。なかには、ハイテク犯罪捜査を担当する現職の警察官でありながら、副業として企業の情報漏洩事件の捜査を専門としたコンサルタント会社を経営するようなケースさえある。このことは驚きではあるが、情報セキュリティーが非常に扱いにくい問題となりうることを象徴的に表してもいる。
例えばアメリカでは、参加者を限定し、非開示同意書(Non-DisclosureAgreement:NDA)を交わすことによって、情報セキュリティーに関する意見交換や情報交換を「セキュアに」行うための場を設ける試みなどが行われている。今後は、日本でも法律家、弁護士、セキュリティー技術の専門家、そして企業、組織における情報セキュリティーの実践者の間の対話を進めるための場作りが必要になってくるだろう。