対談-TREND PARK Vol.4

大三川

市川市は2003年、情報セキュリティマネジメントシステムの国際的な標準規格である「BS7799-2:2002」と国内の標準規格である「ISMS Ver.2.0適合性評価制度」の認証を同時に取得しました。これは全国の自治体では初めて。今回井堀さんに聞きたいテーマはセキュリティ対策なのですが、その前に是非、市川市が進めている電子自治体への取り組みについて教えてください。

井堀

「電子自治体とは電子申請」だけではありません。市川市では、「地域住民が学習する」「ビジネスを広げる」「地域で交流する」「市政に参加する」といった、市民の方々のさまざまな活動が電子上でもできるように整備することも大切だと考えています。そのため、電子自治体への取り組みを進めるうえで、（1）あらゆる市民に優しいユニバーサルな作り（2）地域を大切にするネットワーク（3）場所や時間を問わない（4）安全で安心なセキュリティという4点を念頭においています。このコンセプトのもと、市民と一体となった地域づくりにつながる電子自治体に取り組んでいます。

大三川

では、「BS7799-2:2002」と「ISMS Ver.2.0適合性評価制度」を取得した理由は？

井堀

いきなりセキュリティ対策を講じようとしても「だれが、何を、どうやって」進めればいいのか分かりません。認証を取得することによって、明確なマネジメント体制を構築しようと考えたのです。
また、セキュリティは自分たちだけが対策を講じていれば万全というものではありません。さまざまな取引先と仕事をしていますので、組織外にいる人々を含めた全体的な取り組みが必要になるのです。まず、われわれがセキュリティに対するチェック体制を構築することで、外部と協力しながら対策を立てやすくなると見ました。

大三川

認証取得を含め、セキュリティ対策をうまく推進できていると判断していますか。

井堀

職員が常に危機意識を持って業務にあたれるようになりました。
たとえば、市川市は市民向けのメールマガジンを配信しているのですが、最近、誤って 1,500人の読者にウイルスを送ってしまいました。正確に言うと、メール配信業務を委託している企業が引き起こしたトラブルなのですが、その企業にだけ責任があるとは言えません。事故が発生してからは、すみやかに情報を公開し、市長が陣頭指揮をとって職員全員の協力で問題解決にあたりました。この事故に際しては、スピーディーで適切に対応でき、ある市民から「非常に迅速で分かりやすく適切な対応でした。市の危機管理対応力に拍手をする。ありがとうございます。」というメールが来たほどの事後処理ができました。ほっと一息ですが、3年前から対策を進めてきてもこのような事故が発生してしまうという事実を目の当たりにして、改めてセキュリティの大切さを痛感しましたね。

エバ

市川市がそうであったように、業務委託先の企業が原因となる事故は米国でも多発しています。組織内だけをチェックしておしまいではなく、パートナー企業のセキュリティ対策についても把握しておく必要があるでしょう。

大三川

市川市はインターネットを使ってさまざまな市民へのサービスを提供していると聞いています。インターネットには数多くの脅威が存在していますが、市川市が市民に安心・安全なサービスを提供するにあたり、どのような点に気をつけていますか。

井堀

技術だけに頼って安全な環境を構築するというアプローチは難しいと思います。市川市では人の意識から変革を始めようと考えています。電子自治体にかかわるスタッフが、いかにセキュリティの意識を高め、危機感を持ちながら行動できるか。それが最も重要だと感じています。

大三川

そうした意識を高め、それを浸透させるために必要なものは何ですか。

井堀

職員にアンケートをとったところ、セキュリティ対策を十分に講じている部署ではセキュリティに対する危機意識が非常に高いという傾向が見えてきました。逆に、対策が不十分な部署の危機意識は低い。つまり、対策を十分に講じている部署は、危機意識を持って日々の業務を行っているわけです。
セキュリティに対して積極的に取り組めば、それに携わる人々の意識は着実に高まります。だからこそ、われわれは市役所内だけでなく業務委託先企業も含め、定期的な内部監査を実施するなど、継続的な取り組みを続けていこうと考えています。

エバ

井堀さんの話のように、セキュリティはそれにかかわる人の意識に大きく左右されるものです。「ドライバーは交通ルールを理解している」という前提条件があるからこそ道路で車を運転できるわけで、運転する人によって交通ルールを自由に解釈していたら、まわりが怖くて運転などできません。セキュリティの世界もこれと同じです。
そのために、教育が大きなポイントになると考えています。セキュリティ教育を浸透させることで、社会全体の意識を高めていくことが必要ですね。

大三川

セキュリティは完全性を保証することが難しい分野でもあります。とはいえ、自治体は市民に対し、安心・安全なサービスを提供していかなくてはなりません。市川市は、このバランスをどう取っているのでしょう。

井堀

セキュリティというものは“自己判断”であってはなりません。自分たちのセキュリティ対策は十分か、それとも不十分なのか。この疑問に対して自分たちが判断し、評価するのではなく、自分たちのセキュリティレベルがどれくらいのレベルにあるのかを客観的に、専門的な視点を加えて評価していくことが不可欠なのです。
総務省では自治体の情報セキュリティレべルの評価を調査しました。この調査では全国的な基準レベルが明らかにされました。このような全国統一基準を使って、自分たちのレベルを知り、取り組みを客観的に評価することは大切なことです。

大三川

では、社会全体のセキュリティレベルを向上させるためには何が必要になるでしょう。

井堀

セキュュリティはひとりの個人、もしくはひとつの組織の問題ではなく、社会全体の問題です。そう認識してもらえるように、行政側として働きかけたいですね。私自身は、少なくともネットワーク上でサービスを提供する事業者に対しては何らかのセキュリティ対策を義務づける法整備が必要と考えています。努力義務ではなく、強制力のある法制度を整備していくことが今後の大きな課題になるでしょう。

エバ

井堀さんの言葉にあるように、自治体や企業はセキュリティに対して社会責任を負っています。もっともっと、そのことを強く意識していかなくてはなりません。
トレンドマイクロは、数多くの企業にエンタープライズ・セキュリティ分野でサービスを提供していますから、ネットワーク全体をセキュアに保っておかなければなりません。ネットワークを継続的に監視できる仕組みを使い、事が起きてから対応するのではなく、すべてを事前に把握しておくことが大切です。問題を発生させない信頼性の高い環境を提供していくことが、社会の中におけるセキュリティ企業としての使命でしょう。

大三川

私も、セキュリティを社会問題として認識していくことは、これからの情報化時代に大切な視点だと感じています。
井堀さん、本日はありがとうございました。