■セキュリティ確保のコストと効果(吉田委員分抜粋)5年で80億、永遠に!
答申全文は
http://www.pref.nagano.jp/soumu/shichoson/jyukisys/singikai/siryou6.pdf
3.住基ネットのセキュリティ確保について−コストと効果− (担当:吉田委員)
3.1 脅威のヘッジとコストについて
・・・・・・・・・・・・・・・●論理的に100%のセキュリティを施すには無限のコストが必要になる.クラッカーは強固なセキュリティシステムに侵入することに動機付けされる.ある程度のコストをかけるとセキュリ ティレベルは急激に向上するが,ある点からはあまり上がらなくなる.
システムに起因する脅威はある程度のコストでその可能性を低くすることができる.しかしソーシャルエンジニアリング,未知のセキュリティホール,人的ミス等々に起因する不正侵入の危険性を,かけるコストだけで回避することは不可能である.これがどのようなセキュリティ装置を設置しても解決しないセキュリティレベルの限界である.■論理的な対策
強固なセキュリティ対策を「事前の策」と定義する.専門技術者によるファイアウォールやIDS(不正侵入検知システム)の導入,24時間監視等に該当する.
この観点が必要不可欠であることは明らかである.しかしセキュリティに100%というものは 存在しない.この観点のセキュリティ対策は有事の可能性を低くすることのみに留まる.■有事の対策
・・・・・・「事前の策」以外にもう一つ大事な観点がある.それが「有事対策」である.「有事対策」とは有事の際の対応を予め考えておくことである.不正侵入があったときの対応フローを予め設定し,対応マニュアルによるオペレーションや高度な技術スタッフによる対応等が不可欠である.これにより被害の拡大を最小限に抑えることができる.●悲しいことにサイバーテロは永遠になくならない.残念ながら現状では,この危機管理の部 分がたいへん曖昧になっている.
3.2 どのようにセキュリティ対策を考えれば良いのか
・・・ネットワークを使って利便性を追求した分のリスクヘッジを世間に理解の得られる範囲で事前に対策を講じておくことが大変重要になる.これだけしていた,けれど事故が発生した.保険で処理したい.これが常識である.後から保険に入ることは出来ない.
自治体は民間企業以上の情報セキュリティレベルが必要なことはいうまでもない.3.3 不正アクセスがもたらす損失を換算する.
ある2つの会社がインターネットからアタックを受け,それぞれ10万人の顧客リストを盗まれその1万人が団体訴訟を起こしたとする.
企業が1人に支払う損害賠償額は1万円から10万円と言われており,全体で1億から10億の損失になる.そして,その金額はどのようなセキュリティ対策をおこなっていたのかに依って決まる.インターネットに繋がれた環境の中で,情報資産の残余リスクを如何に減らしていたかが重要なポイントになる.3.4 実際の具体的な進入について
3.5 とりあえず安全な環境を構築するための最低限の具体的費用
3.6 結論
●1.いかなる手法を用いても万全な状態を確保することは不可能である.
2.安全性を高めるためにはリスクとする目的単位にリスクをコンポーネット化する.
3.コンポーネント化したリスクに対するセキュリティポリシーを作成する.
4.セキュリティポリシーにマッチした運用をおこなう.
5.運用の状況を管理する管理監視体制を整備する.
6.管理監視体制は客観的な第3者とし,県は審議会等によりその第3者を監査できる.
7.問題発生時に最大限の運用維持とリスクの最小化を行うべく対応フォーメーションを
ポリシーとは別にアクションルールを確立する.
●8.上記項目を永遠に維持する.●上記セキュリティ対処にかかる経費を業界標準価格を元に算出すると初年度で必要な投資は最低22億円に上る.ここにはコンサルティングや相談費用はなくHIDSとCSサーバーのOS入れ替え検討費用は含まれていない.
総額コスト(24時間365日監視付)5年間の累計はおよそ80億円強と計算できる.
このように費用対効果という観点では語れない費用を予算化さえできない自治体はどのように対処すればよいのか自ずと見えてきている.国の対応はあまりにも杜撰と言わざるを得ない.(以上。)