「SIer、ベンダーの能力に差がある」ことから、そのランキングを見えるようにしてはどうかとの意見もあった。今ユーザ企業のセキュリティ努力に対して「星」をつけるという試みは経産省がしていて、「Security Action」のひとつ星、ふたつ星までは現行制度にある。３つ星、４つ星が検討中で、４つ星には監査での合格が求められる。ベンダー能力にもそういうものをとの意見だが、評価基準はとても難しい。

 

　現場保全をしてインテリ情報を提供した企業への、インセンティブはないのかとの議論もあった。確かに努力に報いる意味はあるのだが、報奨金というのも難しいし、表彰して名誉を讃えるとしても、逆に「あの企業を叩いてやろうぜ」と組織犯罪側のやる気を励起しかねない。

 

　恐らく官民連携の道を拓く方法として、連携がうまくいったケース／効果を挙げたケースの共有から始めるのがいいだろう。

 

・被害を受けた時、何をどうやって切り分けるのか

・協力してもらう外部委託先はどう選定しておくか

・現場保全の範囲をどう決めるのか

・どのタイミング（＆条件）で警察に通報するのか

・通報の仕方はどこに、どうするのか、事前の訓練はどうするか

 

　と言ったことが事例として分かれば、各社の事情に合わせて準備を整えることができるからだ。一般的に上記の事項を整理するのは誰であるべき？と聞いたのだが、皆さん困っておられた。警察側で「こうしなさい」と出してしまうと、そこまでする必要のない企業にまで負担を掛けることになる。私は、

 

・限定したインフラ企業と警察の間で「顔が見る関係」を構築

・官民連携モデルを練り上げ、それが実践でどう役立ったかを検証

・UPDATEしたモデルを少し広げた企業群に展開

 

　のような進め方がいいのではと思った。今回の会合は本当の第一歩。多くの関係者と意見交換して、現場保全も考えられる企業、企業の立場も考えてくれる捜査官、期待に応えられるベンダー、日本で得られた対サイバー犯罪のインテリ情報などが増えていくようにできればと考える。