情報セキュリティ A 9. 情報セキュリティ文化 2009年7月16日（初版 2008-07-10）駒澤大学経営学部教授西村和夫 1 9.1 従業者教育の必要性情報セキュリティへの取組みの遅れ 1995 年（EU指令）ころから，欧州各国は情報セキュリティに真剣に取り組んでいる． 日本の政府も企業も頑張ったが，欧州に比べてまだ遅れている．なぜ遅れているのか (1) 企業でも／ (2) 個人でも 2 (1) なぜ企業で遅れているのか • セキュリティ対策が市場評価に結びつかない → 法律による規制 → 整備中 • 情報セキュリティ人材の不足 → 情報処理技術者試験  共通の方針を策定しなかった社会風土  教育の不足 3 (2) なぜ個人で遅れているのか現状： • ウイルス対策ソフト • 無線ネットワーク（LAN）での利用者限定 • メールの暗号化 • ファイルの暗号化 ○ △ × × 4 (2) なぜ個人で遅れているのか • 情報セキュリティ対策が当然であるという認識ができない環境 • 情報技術の分かりにくさ • 自己責任の限界 • 教育の不足 → 次ページ 5 教育の不足 • 企業でも学校でも不足 • 教育を実施している  企業 16 ％  大学 33 ％警視庁, 不正アクセス対策に関するアンケート報告書（2001年）： http://www.npa.go.jp/cyber/research/h12/fusei_ac4/4_h01.html （引用： http://www.jnsa.org/houkoku2003/20040518/303_1.pdf ） 6 教育の必要性 • 各種対策の効果  ソフト購入 73 ％被害に  ハード購入 67 ％あった  管理者教育 15 ％企業に  従業員教育 0 ％ ← ついて JNSA, 情報セキュリティインシデントに関する調査報告書（2002年度）： http://www.jnsa.org/houkoku2002/incidentreport2002_1.pdf p.48 7 人材の養成 • 情報セキュリティ大学院大学（2004 年） • いくつかの大学での授業（工学系でもまだ少ない） 8 セキュリティ文化 • 初出 “情報システム及びネットワークのセキュリティのためのガイドライン ― セキュリティ文化の普及に向けて” (culture of security) 経済協力開発機構（OECD） 2002年原文： http://www.meti.go.jp/policy/netsecurity/OECD020917set.htm 9 日本政府の対応内閣官房情報セキュリティセンター（NISC, 2005年4月）内に  セキュリティ文化専門委員会  技術戦略専門委員会 10 ■ セキュリティ文化専門委員会  セキュリティづくり • 第１回会合（2005年 8月） • 報告書（2005年11月）公開資料： http://www.nisc.go.jp/conference/seisaku/bunka/index.html 11 ■ セキュリティ文化専門委員会報告書の内容責任原則の徹底： • 企業は，市場との関係に配慮すること（社会的責任） • 個人には，共通認識の形成 12 情報セキュリティ文化 • 共通認識（機密性についていえば）鍵をかけないのが普通 → 鍵をかけるのが当然  戦国時代のような緊張した社会 13 情報セキュリティ文化 • 共通認識（機密性についていえば）鍵をかけないのが普通 → 鍵をかけるのが当然  戦国時代のような緊張した社会 14