白桃書房、1999年、ISDN4-561-23310-5、\2700+税
→購入サイト(アマゾン・コム)
(財)地方自治情報センター『LASDEC』2003年2月号掲載
情報システムのセキュリティ対策が重要であることは,いまさらいうまでもない。特に地方自治体での情報システムにトラブルが生じたときは,住民の生活や権利に大きな影響を与えるので,セキュリティには万全の考慮が必要であり,実際に行政ネットワークでは高度なセキュリティ対策が講じられている。
しかし,とかくセキュリティ対策とはインターネット環境でのウィルスや不正アクセスあるいは個人情報漏洩などの狭い分野に偏って認識されることが多い。確かにこれらの脅威への対策は重要であるが,もっと根本的に,情報システム自身が抱える脆弱性(もろさ)を理解しないと,その対策が片手落ちになってしまう危険がある。
著者は長く日本ユニシス(株)においてビジネスコンサルティングに従事するかたわら,大学院でシステム監査,情報システムの法律,情報システムの脆弱性について研究し,博士(国際公共政策),技術士(情報工学),システム監査技術士などの資格を得ており,現在は独立してコンサルタントをしている。この分野において理論と実務の両面からアプローチできる数少ないコンサルタントの一人である。
本書の特徴を列挙する。第1は,情報システムが本質的に持つ脆弱性を明確にしていることである。脆弱性は構成要素だけでなく,要素間の組み合わせでも発生する。個々の要素としての脆弱性とその複合体であるシステムの脆弱性とは本質的に異なるという指摘は注目するべきである。
第2は,情報システムの脆弱性について情報技術面,経営管理面,組織面,国際・社会面,法・倫理面など,多様な側面から脆弱性の指摘をしてそれへの対策を示していることである。これだけ広い観点を体系的に理論づけした文献を私は知らない。
第3は,これらの理論が豊富な事例により裏づけされていることである。例えばコンピュータ犯罪と脆弱性の関連分析では実に100以上の犯罪事例について,犯罪の状況とその原因となった脅威と脆弱性を分析して,上記のどの側面に該当するかを示している。
本書でぜひ注目してほしいのは,阪神・淡路大震災での被害とそれから得た教訓に関する箇所である。著者は,同災害にあたって実際に顧客企業の情報システム被害の調査と復旧の指揮をとり,その後の安全対策や危機管理に関して多大な研究と指導をした経験を持つ。当時は災害対策や危機管理に多くの人が関心を持ったが,次第に風化してきたようである。
行政システムでは,単に自治体内のシステムの維持だけではなく,このような緊急事態にこそ適切な情報を住民に提供することが期待される。また,取り扱う情報のなかには住民のプライバシーに関するものや行政上の秘密にするべきものもあり,それらの漏洩や不正使用を防ぐことも必要である。
このように,自治体の情報システムは民間企業とは次元の異なるセキュリティ対策や危機管理が要求される。それは自治体職員全体が取り組むべき課題である。本書は,情報システム関係者だけでなく,自治体職員全員にぜひ読んでほしい図書である。