情報セキュリティ A 8. 情報セキュリティ文化 2008年7月10日駒澤大学経営学部教授西村和夫 1 8.1 従業者教育の必要性情報セキュリティへの取組みの遅れ  1995 年（EU指令）ころから，先進国は情報セキュリティに真剣に取り組んでいる．  日本の政府も企業も頑張ったが，欧米に比べてまだ遅れている．なぜ遅れているのか（企業も／個人も） 2 なぜ企業で遅れているのか • 企業のセキュリティ対策が市場評価に結びつかない（→ 法整備） • 企業における情報セキュリティ人材の不足（→ 情報処理技術者試験）  方針を策定しなかった社会風土 3 個人でも遅れている • ウイルス対策ソフト • 無線ネットワーク（LAN）での利用者限定 • メールの暗号化 • ファイルの暗号化 4 個人で遅れている理由 • 情報セキュリティが当然であるという認識ができない環境 • 情報技術の分かりにくさ • 自己責任の限界 • 教育の不足 → 次ページ  鍵をかける習慣がなかった 5 教育の不足 • 企業でも学校でも不足 • 教育を実施している  企業 16 ％  大学 33 ％警視庁, 不正アクセス対策に関するアンケート報告書（2001年）： http://www.npa.go.jp/cyber/research/h12/fusei_ac4/4_h01.html （引用： http://www.jnsa.org/houkoku2003/20040518/303_1.pdf ） 6 教育の必要性 • 各種対策の効果  ソフト購入 73 ％被害に  ハード購入 67 ％あった  管理者教育 15 ％企業に  従業員教育 0 ％ ← ついて JNSA, 情報セキュリティインシデントに関する調査報告書（2002年度）： http://www.jnsa.org/houkoku2002/incidentreport2002_1.pdf p.48 7 セキュリティ文化 • 2002年経済協力開発機構（OECD）が策定した “情報システム及びネットワークのセキュリティのためのガイドライン ― セキュリティ文化の普及に向けて” 原文： http://www.meti.go.jp/policy/netsecurity/OECD020917set.htm 8 人材の養成 • 情報セキュリティ大学院大学（2004 年）情報セキュリティ大学院大学 http://www.iisec.ac.jp/ 9 政府の対応内閣官房情報セキュリティセンター（NISC, 2005年4月）内に  セキュリティ文化専門委員会  技術戦略専門委員会 10 ■ セキュリティ文化専門委員会  セキュリティづくり • 第１回会合（2005年8月） • 報告書（2005年11月）公開資料： http://www.nisc.go.jp/conference/seisaku/bunka/index.html 11 ■ セキュリティ文化専門委員会報告書の内容責任原則の徹底： • 企業は、市場との関係に配慮すること（社会的責任） • 個人には、共通認識の形成 12 情報セキュリティ文化 • 社会慣習鍵をかけないのが普通 → 鍵をかけるのが当然 • 戦国時代のような緊張した社会 13