 http://www.aric.or.jp/
農林水産省の認可団体として、農林水産省をはじめ全国の道府県や市町村などの自治体に積算システム等の提供を行う「社団法人 農業農村整備情報総合センター」。
このセンターの農業農村整備情報研究所の主任研究員であり、情報セキュリティ対策の立案から導入管理までを中心になって行われている鎌田知也(かまたともや)さんは、2005年2月にSEA/J認定基礎コースを受講され、試験にも合格認定されました。
農林水産省をはじめ全国の自治体をユーザーとするシステム提供者の一面を持つ同センターでは、安定したシステムの提供に加え、昨今の情報セキュリティ対策にも力を入れられ、今年4月に情報セキュリティポリシーを確立し正式運用に入られています。
東京都中央区にある同センターを訪ね、情報セキュリティポリシー正式運用にいたるまでのご苦労とSEA/J受講の効果などを伺ってきました。 |
鎌田さん |
SEA/J:貴センターは教育に積極的だとお伺いして参りましたが、人材育成に対する方針などはお持ちでしょうか?
鎌田さん:まず始めに当センターの仕事について説明しておきますと、農林水産省や全国の自治体などが管轄する農業農村整備事業を実施するのに必要な各種システムの開発、運用、保守を行ったり、事業実施に有用な情報をネットワークを利用して各ユーザーに提供しています。
技術情報誌の発刊などの紙媒体での提供もありますが、ここ10年で業務形態も大きく変化し、積算システムの提供をはじめ、電子入札や電子納品等、農林水産省が提唱するCALSシステムの構築等の一翼を担っており、現在ではITを活用した業務が中心になっています。
多くのユーザーに対して、より品質の高いシステムや情報を、タイムリーに確実に提供することが当センターの至上命題であり、そのためにも人材教育は大変重要だと考えています。これまでもOS基礎からネットワーク、Web開発、XMLやJAVA等開発言語に至るまで様々な研修を毎年継続して行ってきています。
また、情報システムを扱う仕事ですのでSE職員は多数いますが、人事異動により、ITにあまり詳しくない職員がシステムを担当することもありますので、保有スキルにあわせた形で必要な教育を実施しています。
SEA/J:セキュリティ対策として職員教育をお考えになったきっかけは?
鎌田さん:もともと、当センターは現在の場所には無かったのですが、当時中央省庁のホームページが改ざんされるという事件をきっかけにセキュリティ対策議論が高まり、当センターにおいても、システム開発専用ルームや相応のセキュリティを具備したサーバールームを確保するため、2001年に現在の場所に移転して参りました。
当センターは行政組織のシステムを扱っており、当然のことながらユーザーである農林水産省をはじめ各自治体の情報セキュリティポリシーを遵守しなければなりませんが、行政組織のポリシーをそのまま当センターのポリシーとして適用するのは実態にそぐわない部分もあり、当センター独自のポリシーを策定する必要がありました。
具体的には、2003年から外部のコンサルタント会社にアセスメントを依頼し、徹底的な情報資産の洗い出しやセキュリティ上の課題点を突き詰め、その後セキュリティポリシーの策定に着手し、ようやく今年4月にポリシーの正式運用に入ることができました。
それと並行して物理的及びシステム的なセキュリティ対策を継続して行ってきています。例えば、身分証明書を兼ねたICカードによる各出入口の入退室管理、ファイルサーバのバックアップシステムやネットワーク監視・管理システムの導入、センター内ネットワークを各部所毎にセグメントを分離したり、サーバールームの空調設備の2重化等々、順次セキュリティ向上対策を進めていますが、今後もさらに強化していきたいと考えています。
このように、当センターとしてはポリシーを策定し、物理的、システム的な対策は施してきましたが、一方で、昨今の情報セキュリティをめぐるニュースなどをみると、うっかりミスや故意による情報漏えいなど人的セキュリティの甘さによるものが実に多いように思います。いくら強固なセキュリティシステムを導入してもそれを扱う人間の認識不足、スキル不足によりセキュリティシステムは簡単に崩れてしまいます。最後は人的セキュリティの確保つまり、セキュリティ教育が必要であるということにたどり着きます。
そこで、私をはじめポリシーの正式運用を行う前段階であった今年2月に、中心メンバー5名が改めて情報セキュリティ全般を網羅した教育を受けようということになったわけです。
ただ、私たちは個別の製品をチューニングするようなスペシャリストではない代わりに、セキュリティ面全体を総合的に見ていく必要があります。そのような網羅的な研修プログラムはないものかと探していたところ、いつも職員研修のプランニングをしてもらっている大塚商会さんの営業担当の方からSEA/J基礎コースを薦められたというわけです。
SEA/J:受講して見ていかがでしたか?
鎌田さん:レベル的には組織のマネジメント層がいきなり受けると難しいという気がしました。私もある程度技術的知識を持って受講し認定試験に臨みましたので、試験ではもう少し高得点が出ると思っていましたが、少し考え方が甘かったですね。
受講内容は非常に広い知識をカバーしているために、もう1日ぐらいあるともっといろいろと質問もでき、深く掘り下げられると思いますが、日常業務との兼ね合いを考えると現状の2日間が受講しやすい現実的な時間設定だと思います。
受講中は、個人的にはPKIの仕組みに興味があったために、講師の方に対していろいろと質問させていただきましたが、興味のある分野は、もっと深く知りたいと思い始めるものですね。
SEA/J:受講されたことによる効果という面ではいかがですか?
鎌田さん:ポリシー正式運用開始の直前ということもあり、最終チェックのための知識習得として非常に助かりました。
また、受講により各職員の知識レベルが上がったことはもちろんですが、職員それぞれに自信が付くとともに当センターの信用度アップにもつながる良い機会であったと思います。
例えば、先ほどお話したPKIなどは、私どもが提供するサービスに必要不可欠な技術なのですが、単に「有名メーカーが提供している技術を使っているから安全です」というのでは、ユーザーに対する説明責任を果たしているとは言えません。私自身はSEではありませんが、「PKIのこのような技術を使っているから他と比較して優れているんです」という説明がユーザーに対してできなければ、システムに対するほんとうの信頼は得られないと考えています。そういった意味で自分自身のセキュリティの知識レベルを知るためにも有意義な研修でした。
SEA/J:今後のセキュリティ教育のご予定は?
鎌田さん:職員全員に対しては、昨年夏にユーザーとして必要な初歩的なセキュリティ研修を行い、まずできることからやろうということで、各自のパソコンのパスワードの複雑化、1ヶ月での無効化等を行っていますが、身近なセキュリティ対策だけにそれらが無意識化、ルーチンワーク化することでセキュリティ意識が低下することが懸念されます。
セキュリティ対策は一回実施しただけではなく、継続的なユーザー研修が必要であると考えていますし、理解度のチェックが出来るとベストでしょう。
また、組織マネジメントのためのセキュリティ知識習得は、専門知識を持つ者ばかりではない当センターには必要なことだと思います。
SEA/J:システム的断面だけに偏らずに、非常にバランス良くセキュリティ対策を実施されていると感じました。本日は貴重なご意見をいただきありがとうございました。
取材日:2005/6/1
【認定校の横顔】 株式会社 大塚商会
今回、鎌田様が受講されたのは、東京都千代田区に本社を置く 株式会社 大塚商会のエデュケーションセンター。
http://www.otsuka-shokai.co.jp/products/edu/
全国に営業・サポートの拠点を持ち、全国13ヶ所のアルファラーニングセンターでSEA/J認定コースの提供をいただいています。 |
