ISACA東京支部月例会に出席して参りました

ISACA東京支部2008年5月度月例会に出席して参りました。今回の講師は、前防衛省官房長の西川徹也氏です。

西川徹也氏略歴
1972年警察庁採用、警視庁神田署長、在比日本大使館一等書記官、和歌山県警本部長、警察庁情報通信企画課長、新潟県警本部長を経て、1999年防衛庁防衛審議官、IT 担当参事官、運用局長、人事教育局長を経て、2007年大臣官房長を最後に退官。同年明治安田生命保険相互会社に就職。

和歌山県警本部長時代に「コンピュータ犯罪に関する白浜シンポジウム」(現サイバー犯罪に関する白浜シンポジウム)、新潟県警本部長時代に「ネットワーク・セキュリティ・ワークショップin越後湯沢」の創設に尽力された経緯があり、ITガバナンス/情報セキュリティにも造詣が深く、ISACAの何かとお世話になっています。


サイバー犯罪に関する白浜シンポジウム

ネットワーク・セキュリティ・ワークショップin越後湯沢

今回の月例会で印象に残ったことを紹介します。
Information Assurance
情報の保証というか保全という意味なのでしょうか。そもそもComputer(IT) Security があってInformation Securityがり、そしてInformation Assuranceと繋がっていくのではないか、ということでした。ああ、なるほどと思いました。今後、考えていくべき命題だと思いました。
情報の特性とバランス
情報の特性に応じた対策が必要であること。全てを機密度の高い情報に合わせることは、組織の行動に支障を来たしてしまう・・etc
これは、全くその通りだと思います。
防衛省のおける情報保証の定義
① 機密性
② 完全性
③ 可用性
④ 識別・認証
⑤ 否認防止
①～③はお馴染みですね。④と⑤は、情報セキュリティの構成要素として語られる例は、それ程多くないので、印象に残りました。
広報体制
イージス護衛艦「あたご」の衝突事件ですが、その広報体制に問題があったと西川氏は認識されていました。事件について、報道機関に対しては防衛大臣、同次官、同広報官、海上幕僚長等、プレイヤーが多すぎということ。同一の主題に対して、ニュアンスのことなるコメント、回答があり悪戯に混乱を招いたのではとのこと。危機管理の一環として公報は、プレイヤーの数を多くすべきでないとのお話でした。民間企業でも参考になりますね。
情報の精度
事故の第一報を鵜呑みにするのは危険である。速報を意識するあまり、精度の悪い情報が報告されることがある。情報の精度を上げるには、情報のキャッチボールが必要であるとのことでした。これは、西川氏の警察時代の捜査幹部としての経験からの発言と想像されます。
その他
あとは、軍事機密です(笑)
月例会後、西川氏も含めて10人ほどで、神保町の中華料理屋に行きました。料理と店主拘りの紹興酒に舌鼓を打ちながら、西川氏の神田署長や捜査幹部時代の想い出話、白浜や湯沢の両イベントにまつわる裏話など伺いまして、誠に有意義で愉快な月例会でした。
(月例会後に一杯飲むのは久し振りでした。ISACAに入会した十数年前の月例会は、スピーチ後の懇親会は付き物でしたが、この習慣、また復活して欲しいのですが、大規模化した月例会では難しいですね)
(会場でお二人の方と名刺交換をしました。お一人は、USEN(現Abitus)のCISA講座で、私の講義を聴かれたとのこと。また、お二方ともCGEITのグランドファザリングでの申請を希望しており、申請書記入ワークショップを待って、申請を予定しているとのことでした。プレッシャーを感じた次第です)