【グーグル スコット ペトリー氏】グーグルのセキュリティ対策--RSA Conference

内閣官房情報セキュリティセンター 情報セキュリティ補佐官 山口英氏

　RSA Conference Japan 2008の2日目の基調講演1人目は内閣官房情報セキュリティセンター 情報セキュリティ補佐官 山口英氏「わが国の情報セキュリティ政策の第2段階に向けて」。

　冒頭山口氏は、昨今の情報システムの重要性が増している点を改めて指摘。物販、予約販売、飛行機の予約、チケット販売といったB2Cはもちろん、B2B分野は特に急拡大を続けているという。こうした流れについて、山口氏は「インフラストラクチャコンバージェンス（インフラ統合）」が起きていると指摘。

　かつては「業務に直結している部分だけのセキュリティだった」が、昨今はSCMをはじめ業務のネットワーク化が進んでいる。これにより「組織に閉じる」ことができなくなっており、企業内セキュリティの品質が、つながる相手に依存する面が増え、情報管理が複雑、かつ難しい局面を迎えている。

　さらに昨今では個人に付帯する情報資産がどんどん増えてきており、「コンピュータらしくないもの」さえもつながってきている。こうした状況を管理するため、会社ではノートPCの持ち出し、個人PCの持ち込みが禁止されたり、情報へのアクセスが制御されている状況にある。実際、講演の会場に持ち込まれるPCの数自体も減少傾向にあり、数百人が入る会場に数人しかノートPCを利用している聴講者はいなかった。

　しかし、山口氏は問いかける。「かつて私たちが想像したユビキタスコンピューティングとはこういうものだったのでしょうか？」。一定の進歩はあるとしながらも、情報資産が持たせられない今のセキュリティのありように「自戒の意味も込めて」憤懣やるかたない様子を見せた。

　現在のサイバー犯罪が金銭目的化した結果、ボットなどがはびこり、テロなのか、それとも事故なのか、はっきりさせることが難しい状況にある。そうした中、自分がどういう情報システムを作るべきなのか、セキュリティ対策をどうやるのか、たくさんの原則、ベストプラクティス、技、知恵を組み合わせなければならない。データがもし外に出ても大丈夫な、「境界線がなくなっても大丈夫な」情報セキュリティ管理を考えるべきだろう。

　一方で山口氏は新しいことを何でもいいからやればよいというわけではないとも述べる。映画『不都合な真実』の言葉を引用し、古い習慣と新しい技術を組み合わせると、非常に強い経験則に基づいて大きな混乱が起きる。これは結果をきちんと予測してリスク管理しなければならない強いメッセージを意味している。


　変化していく問題へ対応しながらも、正確に問題を捉えなければならない、としたうえで、ツールを展開するときの方法にも相当注意しなければならないという。実際の問題を解決することで知見を集積し、その中で必要となる技術を見極め、新たな管理手法を生み出したり、評価手順を確立する「実装科学（Implementation Science）」をいかに社会に根付かせるかが重要になるのである。

　こうした中、さまざまな企業が政策当局に対して、より積極的な介入をし、絶対に役人任せ、政治家任せにせず、セキュリティを実現していくうえで、1番良い方法はどういったものなのか、新しい方法、新しい常識で攻撃をしかけてくる悪意のあるユーザーに対して、積極的な提言ができる「第2次情報セキュリティ対策」を実施していくという。2007年は「情報セキュリティ政策の社会的効果は”十分な判断がつかない状況”にある」と自らの立場を戒めつつ、現行技術水準の限界に対する官学民一体となった連携を求めた。