サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

セキュリティが置き去りにされた「デジタル・ガバメント実行計画」について考える



明けましておめでとうございます。今年は新年早々「半沢直樹エピソードゼロ」の、あまりに酷いシステム開発現場にツッコミ疲れをしてしまった方が多数出たのではないでしょうか。ドラマを作った制作会社や、放送したテレビ局のセキュリティ体制を心配された方も多いことでしょう。でも、それが今の日本の現実なのでしょう。

さて、あまり報道では取扱われませんでしたが、2019年末ついに政府の「デジタル・ガバメント実行計画」が正式に閣議決定されました。今回はこれについて触れたいと思います。

参照行政手続き9割電子化へ 政府が新実行計画/日本経済新聞

デジタル・ガバメント実行計画の穴

「デジタルガバメント実行計画」とは、行政の在り方そのものをデジタル前提で見直すことを目的としています。この目的自体は、行政の効率化として大変意義のあるものだと思います。ところが、この計画を読んでみると、”具体的にどうすればできるのか”、”そもそも安全にできるのか”が今一つ見えて来ないのです。

セキュリティが置き去りにされた「サービス設計12か条」

その根本原因が、実行計画のベースとされた「サービス設計12か条」だと思っています。

この「サービス設計12か条」にはセキュリティの項目が入っていません。基にしたと思われるアメリカの「Digital Services Playbook」にはセキュリティの項目が入っています。民間のサービスには「セキュリティ・バイ・デザイン」を要求しているのに、デジタルガバメントにはそれを要求していないということです。

案が公開された際、意見募集に私も指摘させていただいたんですが、それに対しての返答は下記の通りでした。

本計画は利便性の向上という側面に焦点を当てているため深く書き込めておりませんが、セキュリティの確保やリスク管理についてはNISCと連携し一体となって取り組みを進めております。

いや、セキュリティの確保もリスク管理も利便性向上の必須条件でしょう。安心して使えなければ、誰もそのサービスを利用しようと思わないでしょう。

「サービス設計12か条」の第1条は『利用者のニーズから出発する』なんですが、”安全に使えること”は利用者のニーズの最たるものでしょう。なぜセキュリティの項目を外したのか、理解に苦しみます。

セキュリティ意識の低さが露呈する計画

一応、付け加えておきますが、条文の解説事項には”セキュリティ”の言葉は一つだけ出てきます。第6条『デジタル技術を活用し、サービスの価値を高める』の部分で下記のように表現されています。

情報セキュリティ対策とプライバシーの確保はサービスの価値を向上させるための手段

政府提供のサービスなのに、セキュリティやプライバシーは”価値向上の手段”でしかないとは!と突っ込みたくなりますよね。このような発想だから、いまだにマイナンバーカードを推進しているのでしょう。セキュリティやプライバシーの確保は”価値向上の手段”としか考えていないのですから。

実際に誰が作っていくのか、人材不足問題は解決せず…

最大の問題はこれです。人材不足。本文だけで100ページ近い中、1ページちょっとのスペースでこれが触れられています。要約すると、「人材の育成と確保に取り組んでいるが、依然として不足」です。それでも開発現場と決裁権限者の間を取り持つ「橋渡し人材」は160人になった、とは書いてあります。

増えるのは良いことですが、個人的には彼らには同情してしまいます。私も民間で「橋渡し人材」的な仕事をよくやりますが、それでも経営層はメールを使えますし、インターネットもやります。こちらの説明も理解していただけます。ですが、PCを使ったこともない決裁権限者にデジタルガバメントの在り方や、セキュリティの確保について理解させろ、と言われたら自信がありません。

それをできる人たちや、現場でデジタルガバメントのシステムを作る人たちを大量に確保する必要があるのです。それなくしてデジタルガバメントは進みません。実行計画の最重要課題だと思うのですが。

最後に

デジタル・ガバメントは進めて行くべきだと思います。ただ、今回発表された実行計画では「できたらいいね」「なんとか作ってね」の雰囲気が漂っており、「こうすればできる」感がまるで無いのです。少なくともITやセキュリティも現場に関わってきた人たちが実行計画策定に加わっていたようには見えません。

大切なことだからこそ、現場の意見を盛り込んでいただきたい。少なくとも、「半沢直樹エピソードゼロ」の証券システム開発現場に違和感を持てないような方たちだけで実行計画を作るのは止めていただきたい、と切に願います。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。