PR

 「日本のネットワーク・セキュリティは米国に比べて20年は遅れている」。このような歯に衣着せぬ発言で警鐘を鳴らし続けてきた国際政治・軍事アナリスト,危機管理総合研究所長の小川和久氏。2003年からは,政府・企業へのセキュリティに関するコンサルティングも実施している。 RSA Conference Japan 2008の基調講演にも登壇する予定の小川氏に,日本のセキュリティの問題点を聞いた。

(聞き手は安井 晴海=ITpro



小川さんは以前,「ネットワーク・セキュリティに関しては,ドッグイヤーで言うと日本は米国に比べて20年は遅れている」と発言されていました。そうした状況は今も変わっていませんか。


国際政治・軍事アナリストの小川 和久氏
[画像のクリックで拡大表示]
 それは,2003年4~5月に米国視察に行った際に痛感したことです。そのときは,ネットワーク・セキュリティに関する米国のキーパーソンみんなに会って聞き取り調査を行いました。以前から「日本は遅れている」と考えていましたが,その仮説が証明されました。状況は,今ももちろん変わっていません。いやむしろ,差は広がっているように思います。

 理由は二つあります。一つはITに限らず,日本は目標が低すぎるということ。もう一つは,縦割りで仕事をしようとするので,合格点の答案が出てきにくいということです。縦割りの“たこつぼ”の中で採点をすると,それなりの点数は付けられます。しかし実際のネットワーク・セキュリティは,ファイアウォールのレベルがどうのということではなく,物理的なセキュリティも含めてトータルに守れるかという問題のはずです。

 例えば,管理パスワードを盗むとなったら攻撃者は何でもやります。なりすましをやるかもしれないし,オレオレ詐欺のようなこともやるかもしれません。ソーシャル・エンジニアリングの世界です。また,専用線だって安全とは言い切れません。専用線が通っている施設の中には無人のものがあり,そこの警報装置を短時間でもアウトにできれば,中に入り込んでそこからネットワークに侵入する可能性だってあるわけです。

 ネットワークだけでなく,セキュリティに関する意識が全般的に低すぎます。

どこに問題があるのですか。

 根本的な問題は,日本人の「DNA的欠損」でしょう。日本は島国ですから,世界とかかわらなくても安全に暮らしてこれたという歴史からきているものです。危機に対するセンスが育ちにくい。そうした日本的価値観の中で,日本的な受験を勝ち残っていい大学に行けた人が日本のトップエリートになっているわけですから,官僚にしても企業のトップにしても,危機意識は足りないのです。

 例えば,以前,こういうことがありました。これから企業のCEO(最高経営責任者)に就任するであろうというような40代,50代のトップエリートの人たちに講義をする場があったのですが,その人たちは,電子メールの署名・暗号化などに使われる公開鍵暗号方式のPGP(Pretty Good Privacy)を全く知りませんでした。「使ったことがない」のではなく,「名前すら聞いたことがない」と言うのです。知っていた人はゼロです。米国では,企業の幹部がPGPを使って暗号化メールを送るなどということはよくあります。この差なんですよ。

先ほどの“たこつぼ”縦割り主義からはどんな弊害が出ていますか。

 日本企業のセキュリティは,ほとんどと言っていいほど形式に流れる傾向があることです。形だけ整えて,それで終わってしまいます。形を作ることが目標になってしまうのです。

 システムを組んだり,組織を作ったり,セキュリティ対策機器を買ったりしても,それで本当に初期の目的を達成できるかをチェックしないと意味がありません。本来は,チェックして何が起こっているかを常に補い,セキュリティ・レベルをどんどん上げていかなければならない。それが日本にはあまりないのです。

 それは,IT部門の予算で,IT部門の発想の範囲でセキュリティ対策を行っているからです。「セキュリティ対策はCEOの仕事」ということをCEOが分かっていません。先ほども言いましたが,ネットワーク・セキュリティは,物理的なセキュリティ対策,ソーシャル・エンジニアリング対策が不可欠です。CIO(最高情報責任者)の果たす役割も大きいですが,CIOだけではできません。CEOが「全部やれ」と言わないといけないのです。

 セキュリティ対策は,「いくらお金をかけても,それがお金を生み出すわけではない」と言う経営者がいます。しかし,そう言う経営者は,根本的に経営が分かっていないのではないかと思います。「安全なくして繁栄なし」。会社の安全がなければ,企業活動はできません。ですから,セキュリティ対策は必要最低限のコストなんです。