セキュリティ対策コラム情報セキュリティ進化論＜ガバナンス時代の到来＞

多くの人が暗号を身に付けるようになっていることをご存知でしょうか。IC カードや携帯電話に暗号が使われているのです。携帯電話では、ニセの電話機 （クローン）が使われないように、暗号を使って識別（認証）できるようにもしています。このように日常生活に暗号が使われ始めたことが「第1のセキュリティ進化」です。

電子署名法が施行され、電子的な印鑑と印鑑証明書を使って、安心して電子取引を行うための基盤が整備されているところです。リアルの世界とは勝手が違った印鑑（署名）ですから、社会に認知・定着させて行く事が大切なことです。住民基本台帳システムにおける個人認証にもこの電子署名が使われています。これが「第2のセキュリティ進化」で、まだまだこれから大きく発展していくことになりそうです。

1900年代は暗号や認証、またファイアウオール等の「技術」を基盤として情報セキュリティを進展させてきました。2000年代は、マネージメントの時代と言われ、技術ばかりではなく、運用・管理の重要性に目が向き始めた時代です。情報の価値とリスクをを認識して、セキュリティポリシに則り如何に計画・運用・改善のサイクルを回してセキュリティを向上（スパイラルアップ）させていく。所謂マネージメントが注目されるようになってきました。ISMS評価認定制度も始まりましたが、これが「第3のセキュリティ進化」です。

2002年、10年ぶりにOECDのセキュリティガイドラインが改訂されたました。改訂の中心は、本文中に良く出てくるCulture　of　Securityということです。これはセキュリティを文化として捉えて行こうということです。企業文化とは「会社の経営方針の下に、社員全員が利益や社会的責任を実現していこう」とすることです。同様にセキュリティ文化は「セキュリティポリシーに基づいて、従業員全体がセキュリティ確保に向けて活動していこう」ということです。OECDのガイドラインでは、情報セキュリティが企業経営そのものになってきていることを訴えており、そこには企業のガバナンスが働くべきことを要求しております。前回、前々回でも紹介してきたSOX法（米国企業改革法）も企業のガバナンスを求めるものでした。ガバナンス時代のセキュリティ、これが「第4のセキュリティ進化」です。現在は「第4進化の入り口」と言ったところでしょうか。