対談・座談会

プロフィール

中央大学理工学部教授
辻井重男

1933年生まれ。1958年東京工業大学工学部電気工学科を卒業し、日本電気株式会社に入社。1965年山梨大学教授、1971年東京工業大学助教授、 1978年東京工業大学教授、1994年中央大学理工学部教授に就任し、現在に至る。情報システム、暗号理論、デジタル信号処理の研究に従事。工学博士。東京工業大学図書館長、郵政省電気通信審議会委員、総務省電波管理審議会会長、電子情報通信学会会長などを歴任。日本学術会議会員。

ＮＥＣソフト株式会社
代表取締役社長
関隆明

1939年生まれ。1963年4月日本電気株式会社に入社し、SEとして製造業のEDPシステムの開発に着手。1987年同社情報処理製造システム事業部長、1990年理事、1991年支配人を経て、1993年取締役支配人。1995年6月に当社代表取締役社長に就任し、現在に至る。2001年からは社団法人情報サービス産業協会副会長も務める。

情報セキュリティーは電子社会の発展に必要不可欠な根幹技術

辻井

情報セキュリティーを、私の専門分野である暗号技術の側面から見ると、すでに1970年代には、本格的なコンピューターとネットワークの社会が到来したとき、どうやって署名するのか、印鑑の代わりになるものはあるのか、といった課題がありました。現在のようなペーパーレス社会への移行を予見していたのですね。

関

私たちもコンピューター社会の黎明期よりSI企業として携わってきましたが、その頃から「情報をいかにガードするか」ということは問われ続けてきました。もともとメインフレームを手掛けてきた経緯もあって、コンピューター内部のセキュリティーという部分ではかなり挑戦してきましたし、専用線によるネットワークやデータベースなどのガードにも携わってきました。しかし、インターネットの出現により、オープンなネットワークが瞬く間に社会へ浸透し、ネットワークに対する考え方が180度変わったのです。安全管理という面でもケタ違いに多様性を帯び、一気に複雑化してきました。

辻井

そのパラダイムシフトの中で、暗号技術も昔からの秘匿や守秘といったガードだけでなく、認証やデジタル署名といった「攻めの技術」になってきたのです。特にPKI※1は、サイバーネットワークという無色透明の見えない世界で、相手が誰であるか、文書や電子マネーなどのデータが本物であるかどうかなど、すべてのものの真正性と価値を保証するものです。「暗号」という字面が持つマイナスなイメージではなく、むしろ、暗く見えない世界を照らしだす「光」ととらえ直してみてください。厳しく真偽を判別するキーテクノロジーとして、不特定多数の人間が利用するネットワーク社会の本質的な機能を担っているわけです。そういう意味では、暗号技術や情報セキュリティーは、電子社会発展の根幹であり、ITビジネスの推進基盤であるという認識が重要になってきます。

関

おっしゃるとおりだと思います。暗号技術も含め情報セキュリティーは、まさにIT社会の根幹をなす最重要領域。しかし現実問題として、国内市場のセキュリティーに対する意識は、まだまだこれからと言わざるを得ない部分もありますね。それだけ、まだ危機にさらされたことがない、またさらされる可能性に気付いていない企業が多いというのが、正直な印象です。

総合的かつ継続的な取り組みがセキュリティーには必要不可欠

関

ところで、よくインターネットは高速道路にたとえられることがあるかと思います。その視点で見ると、本当にものすごく便利で効率的なハイウェイなのですね。ただ、人や自転車、オートバイ、車というように、なにもかも渾然一体として走っているのが現状です。誰もが利用でき、利便性や効率が高い反面、渋滞や事故がいつ発生してもおかしくない状態とも言えます。「週末、キャンプに行こうよ」といった個人のEメールのやりとりから企業間の商取引情報、国家の機密情報などが、同じ経路を流れているわけです。これらすべてに優先順位をつけ、いかに守り、悪用されないようにするか――ネットワーク経路や機器類のセキュリティーにはじまり、利用に関するルールづくり、人的ミスに由来する問題など、多面的に整備しなくてはなりません。しかも、一度決めたらそれで終わりというわけではなく、エンドレスな取り組みが必要不可欠です。

辻井

確かに情報セキュリティーを交通システムに置き換えると、よくわかりますね。まず、そこを走る車は、性能がよくて安全性も高いものを開発しなければなりません。これは「技術」の話になります。車を購入した後は、車検に出したり、日常的な整備も必要です。こちらはISMS※2的な「管理運用」に相当します。また、変な運転をしたり、飲酒運転したりすると処罰される交通法規、つまり「法体系」も大事です。もちろん、きめ細かい運転マナーの徹底も不可欠。「モラル」の領域ですね。つまり、技術や管理運用、法制度や社会制度、モラル、マナーなど、これらすべてを含む総合的な対策が、情報セキュリティーには必要です。しかも、関社長がおっしゃったように、その取り組みはまさにエンドレス。計画（Plan）を立て、それを実施（Do）し、その状況の点検・対処（Check）を行うとともに、システムの見直し（Action）を行うPDCAサイクルで、常に回していかなければならないのです。

自らの実状を把握できないことが、セキュリティーにおける社会全体の課題

関

今、自社ではもちろん、JISA（社団法人情報サービス産業協会）の方でも、e-Japanのシステムや電子政府・電子自治体のセキュリティーが保証される仕組みについて、一生懸命取り組んでいるところです。そこで一番の課題として上がってくるのが「リクワイアメントスペック（要求仕様）を当事者が出せない」という部分。企業に関しても同様で、販売や生産の効率化ばかりに気を取られ、「基幹業務に関係ないセキュリティーなんて、後回しでいい」という考え方や発想が、まだ根強く残っています。情報セキュリティーに対する経営者の投資プライオリティーは、決して高くないですね。

辻井

リクワイアメントスペックに関しては、これからSLA※3という概念が広まっていくのではないでしょうか。

関

お客様の方で「何がしたい」「こう改善したい」という要求が出せるように、私たちSI企業は「なぜその技術や機器が必要なのか」「なぜこの運用管理サービスが最適なのか」などを、ソリューション導入前にこれまで以上にシビアにやりとりを重ねる必要があると思います。その意味でも、SLAは重要なものとなってくるでしょう。明確な数値目標を伴ってきますからね。また同時に、このSLAの浸透はセキュリティーに対する認識を改めてもらえるチャンスでもあると考えています。

情報セキュリティーの確立には社会的なインフラの整備が必須

辻井

理想論ですが、情報ネットワークを支えるためには、法律・政令・省令という中央政府の体系と、それらを地方自治体で活かす条例、保険のような社会制度などを、きちんと整備する必要があると思います。それらを社会インフラに組み入れておかないと、将来的にうまく回らないでしょう。それから、利用者サイドの問題を軽視してはなりません。たとえば、お客様に「ファイアーウォールを入れたから安全です」と言い切れますか？きちんと機能させるためには、パケットフィルタリングなどの設定を行う必要があります。そういう人が関わる部分でミスが発生した場合、どう保守・運用していくかまで想定しないとセキュリティーは守られません。

関

技術的な部分に目がいきがちですが、人間は本質的にミスを犯す動物。やったつもりでやらなかったというヒューマン・エラーが多いのは事実です。モラルやマナーといったマインド的な問題も含め、意外と見落とされていることが多いようです。

辻井

広い視野で見れば、経済的な問題でもあるのです。もう少しお金を絡めて考えてみていいと思います。企業の場合は、社内ネットワークの利用規定の徹底や、セキュリティーに関する教育を実施して、社員全員のマナーや知識を高めることによって、いかにコストダウンが図れるかというように。また、一人ひとりのプライバシーに対する感覚も違うので、一定の尺度を設けて金銭的な関係を持たせ、うまく回す方法も考えられるでしょう。経済や経営問題という視点から、もっとモラルやマナーの向上に貢献できますよ。そうやって総合的対策を施そうとする姿勢が、企業内はもちろん社会全体のセキュリティー確保には重要なのです。

重要なのは、現場で実効力のあるセキュリティーポリシーを策定できるか否か

関

SI企業、ソフトウェア企業として「いま、顧客の現場でどんなことが起こっているのか」「そのために、何をしなくてはならないのか」「そこで私たちはどんなお手伝いやサービスを提供できるのか」という考え方を持ってお客様と接するのは、当たり前の話です。私たちはそれを社内で徹底するために、様々な取り組みを行っています。その延長として「このお客様はこういうビジネスを展開しているのだから、セキュリティーポリシーはこうでなければならない」ということを論じられるよう、今年からコンサルティング部門を強化するなど、社内体制の整備を進めているところです。また、様々なセキュリティーのテーマの中から、私たちが得意とする「外部侵入からの防衛」「情報漏えい対策」「認証関連」の3ジャンルで新たな対応策も練っています。社内のリソースだけで満たせない部分は、外部とのタイアップやコラボレーションでフォローすることも積極的に進めています。

辻井

企業のセキュリティーポリシーを策定する際、やはり企業によって独自の経営理念に密着するような内容が盛り込まれるなど、特色があるのでしょうか？

関

IT化自体が経営戦略の一環であるという認識を持っているトップであれば、自ずとセキュリティーポリシーに最初に手を付けると思うのです。しかし、コンサルティング会社などの提案をそのまま反映させてしまい、ほぼ横並びに近い内容となっているのが現状でしょう。「情報資産を守る」というスタンスで取り組んでいる企業は、まだそれほど多くはないようです。

辻井

前述したPDCAサイクルをダイナミックかつエンドレスに動かしていくためには、個々の企業風土やフィロソフィー（哲学）に即したセキュリティーポリシーを、組織内に定着させなければ意味がないように思います。

関

今のところ、ERPやCRMという欧米に遅れたソリューションをキャッチアップすることで精一杯でしょう。しかし、最近はお客様の方から「こういう対策はないのか」とか、「こういう事故が起きそうなので、なんとかならないか」といった具体的な相談を寄せてくださるケースが急増してきました。お客様の方でも危機感が高まってきたようですね。特に情報漏えいに関しては、顧客名簿や商品リストといった単なるデータの流出にとどまらず、企業のナレッジやノウハウにまつわる貴重な情報資産が漏れてしまう問題が起こってきていますから、その対策に本腰を入れて取り組む企業は確実に増えています。

現在のキーワードはバイオメトリクスとICカード

辻井

今、具体的にどんなソリューションで対応しているのですか？

関

サイバーアタックは現実の問題です。事実、私たち自身もウイルスやワームに頻繁にアタックされているユーザーです。そこで、NECグループを挙げて「CAPS」という監視システムを構築しているのですが、そういった社内での運用実績なども踏まえてコンサルティングしています。最近ではサイバーアタックの監視を専門に行う企業とも提携して、より実践的な取り組みもスタートさせました。また、内部からの情報漏えい対策に関しては、ハードディスクの暗号化を担う「pointsec」や文書データへのアクセスを防止する「SecurityPlatform」、バイオメトリクスの「iSecSuite」、不適切な情報の発信を制御する「GUARDIANWALL」など、様々な製品を展開しています。特にバイオメトリクスに関しては、指紋、掌紋、音声、虹彩、顔、サインといった、人間が物理的に持ち合わせているもので個人認証するソリューションを、全社一丸となって強力に推進中です。自社内にデバイスがない場合は、他メーカーとコラボレーションして提供するなど、バイオメトリクスは今の私たちのビジネス・キーワードですね。

辻井

サイバーパスポートとも呼ばれるほど人気の高い、ICカードとの連携はいかがですか？私の研究領域ともリンクしてくるのですが、ICカードには、300桁の暗号の秘密鍵が格納できます。ICカードは本人とカードの結びつきが非常に大切ですから、人間が生まれながらに持っている唯一のデジタル情報にあたる DNAを、ICカードの暗号の中に数理的な構造として埋め込むのが有効的ではないかと思っています。パスワードを知っている、IDカードを持っている、そしてバイオメトリクス。この3つが揃えば、身分証明はまず確実になるでしょう。

関

ご指摘のように認証関係ではICカードが、現在のセキュリティー事業の中軸を担っています。社員証への活用にはじまり、入退館の管理や、業務上の決済など、様々なシチュエーションで活用が進んでいます。指紋とICカードを結びつけた事例も多いようです。ICカードについては、コンサルティングはもちろん、発行、運用まで含めた具体的な支援サービスなど、オールラウンドで対応しています。

安全性と利便性の両立を図るベストソリューションを目指して

辻井

結局、IT社会というのは、リアルスペースだけの世界にサイバー空間という新たな世界が加わったわけで、人間の活動する範囲や自由度が非常に広がり、効率性や利便性も高められると考えられます。ところが、セキュリティーをはじめプライバシーや監視社会への恐れといった多くの問題も内包されています。これらにどう対応していくか。よく「バランスをとることが大切」と言われますが、それよりもむしろ両立させることこそが、情報セキュリティーの役割ではないでしょうか。

関

同感です。私たちも安全性と利便性の両立を図るベストソリューションの追求には、全精力を傾けて取り組んでいます。辻井教授も携わっていらっしゃる最先端の研究開発領域に関しても、「実用化するのにどうすればいいのか」という部分で貢献したいと思います。具体的には、R&D拠点として「VALWAYテクノロジーセンター」を設け、現状ではまだビジネスの対象にならない、あるいは今後の発展が期待される素材について、実用化に向けた研究開発を進めているところです。今はバイオインフォマティクスに非常に力を入れているのですが、情報基盤の根幹をなすセキュリティーも克服すべき最重要課題として俎上にあがっています。現実のビジネスと、将来の先取りと、体力の許すかぎり追求していきたいですね。

辻井

私が感じている直近の課題は、セキュリティーがわかる人材の育成です。情報セキュリティーを経営問題として認識し、技術も、管理運営面も、両方わかるマネジメント層をはじめ、コンピューターネットワークやセキュリティーシステム系の技術者、管理運営系の人たち、そして個々の専門の研究者と、すべての領域で人材不足を痛感しています。この部分は、ＮＥＣソフトをはじめベンダー各社に取り組んでいただきたいですね。

関

辻井教授のご指摘の通り、セキュリティー分野においては、幅広く人材が必要ですので、私たちも役職の有無に関わらず専門性の高いスキルを持った人材を評価する人事考課制度に改めるなど、積極的に取り組んでいきます。もちろん、人材育成だけに限らず、引き続き教授の暗号技術のような高邁な理論を社会に有用な技術として浸透させるお手伝いに注力していきますので、今後ともよろしくお願い致します。

※1　PKI

Public Key Infrastructure の略。公開鍵暗号を用いた技術や製品のこと。RSAや楕円曲線暗号などの公開鍵暗号技術、SSLを組みこんだWebサーバー／ブラウザー、S/MIMEや PGPなどを使った暗号化Eメール、デジタル証明書を発行する認証局（CA）構築サーバーなどが、これに当たる。

※2　ISMS

企業などの組織が情報を適切に管理し、機密を守るための包括的な枠組み。コンピューターシステムのセキュリティー対策だけでなく、セキュリティーポリシーや、それに基づいた具体的な計画、その実施・運用、一定期間ごとの方針、計画見直しまで含めた、トータルなリスクマネジメント体系のこと。

※3　SLA

Service Level Agreementの略。サービスなどの品質を、提供する側、享受する側、お互いで合意しながら、具体的な指標をもって保証する制度。

PDFファイルをダウンロード

• ※本ページに記載されている情報は本誌掲載時におけるものであり、閲覧される時点で変更されている可能性があります。予めご了承下さい。