今年1月下旬に一部の中央省庁のウェブが書き換えられたことは記憶に新しい。これに伴い、1月27日に情報セキュリティー関係省庁局長会議をはじめ、いくつもの会議が開かれ、7月には各省庁が「情報セキュリティーポリシー」を12月までに策定することが決まった。情報セキュリティーポリシーとは、各省庁の情報システムに高いセキュリティー水準を確保するために対策体制を確立し、情報資産を守るための物理的、人的、技術的、さらに運用の観点からの対策をドキュメントとしてまとめるものだ。

　●1省庁3,000万円のケースも
　このようなセキュリティーポリシーの策定を専門に行っている事業者は大きく3つに分けることができる。そのひとつ、シンクタンク系では野村総合研究所、三菱総合研究所、日本総合研究所などがある。監査法人系ではKPMGビジネスアシュアランスが金融分野で実績がある。さらにセキュリティー分野のベンチャー企業ではラック、INSIが知られている。

　ポリシーを構築するには、策定プロジェクトをつくって基本方針を決め、リスク分析、対策基準を設定して最終的なポリシーを決定する手順をとる。セキュリティーポリシーを策定する企業各社によると、価格は1,000万円から3,000万円水準という。もちろんひとつの省庁に対する見積もりだ。全べての省庁の金額を合計すると、ちょっとした金額になる。

　ポリシー構築の期間は、組織の規模にもよるが3カ月前後を要するという。セキュリティーポリシーをつくることが7月に突然決まり、12月までに完成ということになった各省庁は、予算の確保からポリシー策定事業者の選定と目まぐるしく動いている。いくつかの省庁では入札を行った。また、随意契約のところもあるし、自前で策定といったケースもあってさまざまだ。今月からは多くの省庁で策定が始まっている。だが、来年1月に迫った省庁再編という問題が浮上している。

　●再編にらみで策定を
　急きょ、省庁ごとに作成されるセキュリティーポリシーは、省庁再編後の情報システムまではカバーしていないケースがあるからだ。統合の対象となる省庁では、それぞれのセキュリティーポリシーを付き合わせて、また策定し直される可能性がある。「ウェブが書き換えられたことで、大きな被害は無かった」という省庁担当者の“問題コメント”があったが、それはともかく、省庁再編を考慮しないセキュリティーポリシーが税金によって作られようとしている。今からでも遅くはない。省庁再編に合わせて、あるいはそれを織り込んだセキュリティーポリシーを構築することを希望するのは私だけではないだろう。

■URL
・高度情報通信社会推進本部　情報セキュリティ対策
http://www.kantei.go.jp/jp/it/security/index.html