羅健豪在亞洲各國中,日本對於資訊安全的注重程度相當高,早在數年之前便著力於建構整體資訊安全架構。其中不限於網際網路與資訊設備本身,同時還包括如發電廠、交通設施及飛機場等公共建設,另外也針對個人部分提供各項資訊安全教育訓練及課程,以期能從全方位建構完善的資訊安全體系。而其中扮演關鍵角色的官方單位有三個部會,分別是警察廳、總務省與經濟產業省等。
本文目錄
執法單位不僅查緝,還要防範
 |
| AVAR 2009 Kyoto 簡報 |
其實司法單位都有一項共通的體認,就是犯罪者是永遠抓不完的,有效地預防犯罪才是根本解決之道。因此,日本警察廳對待網路犯罪的態度中,除了有效掌握犯罪證據、加速查緝犯罪行為並杜絕犯罪管道之外,另外一項重要的工作就是強化資訊安全方面的宣導。
從 2006 年開始,日本警察廳方面便持續舉辦各種活動,並前往各級學校講述相關資訊安全事件與預防方法,每年所舉辦的活動或巡迴講座都超過 2,000 場以上,聽眾超過 25 萬人,發行相關書籍超過 21 萬本,希望能夠利用這些方式讓資訊安全教育深入每個人的日常生活。
根據日本警察廳的統計,實際上因為系統漏洞或軟體瑕疵的犯罪之比例並不如想像中那麼高,相對的,使用者習慣與無心之過反而佔了較大的比例。因此希望能夠藉由持續不斷的教育訓練,讓所有使用者能夠了解哪些是不當行為,哪些又容易侵犯他人權益而導致犯罪行為的發生。
與 ISP 配合共同分析管理
 |
| AVAR 2009 Kyoto 簡報 |
日本總務省 (Ministry of Internal affairs & Communications) 不單只是管理各項內部事物,同時更重要的工作為管理各種通訊管道與平台,因此可以將安全管理與規範的領域擴展至整個日本境內,並要求相關 ISP 業者配合政府政策。
而這套完整的管理機制早期並非由總務省發起,而是由日本境內主要的 ISP 業者於 2002 年主動提出,認為應該要建立一套完整的資訊共享分析平台 (Telecom-ISAC Japan),讓各種資安訊息得以自由流通,避免個人或企業因為資訊不足而導致資安事件發生。
由 ISP 業者或參與該組織的企業團體所收集到的資料,不單只是提供會員分享使用,同時也會與日本主管機關及其他海外資安團體,如 CERT 、 ISAC 或國家的資安管理單位分享,讓資訊能夠得到進一步的分析整理,並了解國內外的資安趨勢與現狀。
單在 2009 年度中,總務省便執行了 3 大專案計畫,本年度預算金額高達日幣 10.2 億元(約合台幣 3.8 億元),希望能夠強化對網路犯罪的處理對策、各種危害防治的管控並強化安全偵測與管理之技術,進而有效控制犯罪或災害。
與企業單位協同發展相關政策
 |
| AVAR 2009 Kyoto 簡報 |
經濟產業省的角色則是掌控公共建設的發展與規劃,同時加強與企業單位之間聯繫,以及國與國間的資訊安全訊息交流。由於資訊網路可以加速並簡化整體操作流程,因此對經濟產業省而言,推廣資訊網路及相關服務是必然的趨勢。但是有鑑於網路犯罪也會伴隨資訊網路的發展而茁壯成長,因此如何在發展過程中同時確保資訊安全,就成為經濟產業省的重要課題。
在規劃資訊安全相關目標與政策上,經濟產業省將其劃分為 4 大區塊,分別為網際網路(監控、警示與回應)、閘道端(技術型量測)、企業內部或伺服器區(安全管理)及個人(教育、訓練與告警)。並根據不同區塊與不同單位合作,從大眾媒體、產品開發商、教育單位到安全管理機構,建構一套全方位端對端的安全體系,以期能收到滴水不漏的功效。
從日本政府對待資訊安全的態度中,我們可以了解到日本官方對於資訊發展與相關的管理維護相當積極,不但責成各單位依據所負責業務與領域規劃相關專案,同時也以官方力量整合並輔導各產業,希望能夠達到資訊安全訊息共享與加速傳遞之功效。
而反觀國內雖然也有相關權責單位,但由於協同管理能量不足,人力資源無法得到有效利用,因此往往淪為單打獨鬥的局面。資安相關之研究營運經費與其他領域相較之下也略為不足,也因此在最近幾年的國際資安事件或統計報告中,台灣的排名與事件數量日漸上升,這些都是還有待改進的地方。`