第一回情報モラル・セキュリティ分科会(東京) 議事録
| 第一回情報モラル・セキュリティ分科会(東京) 議事録 |
| 日時: |
2003/9/25(木)
15:00〜18:00 |
| 会場: |
クオリティ(株)6F会議室 |
|
| テーマ: |
「情報セキュリティ監査制度を利用するメリットについて」 |
|
| 講師: |
株式会社 ディアイティ
代表取締役社長 (JNSA :
日本ネットワークセキュリティ協会
事務局長)下村正洋 氏 |
| 発表内容: |
〜情報セキュリティ監査制度と日本ネットワークセキュリティ協会の活動について〜 |
|
| 司会・進行: |
情報モラル・セキュリティ分科会
座長 富士フィルムコンピュータシステム株式会社
橋本純生 氏
|
|
※当分科会の運営方針により、個人/会社名を特定できる発言、および発表者から公開の許可を得られなかった内容は
議事録より削除されています。あらかじめご了承ください。 |
| |
| ■ |
プレゼンテーション |
| |
質疑応答 |
| |
| Q: |
情報セキュリティ監査の公に認められた資格がない。保証型の監査を行うとしても
監査の質が伴わないのではないか?有名な監査、コンサル会社に集中しがちなのでは? |
| A: |
現状は仕方が無い。そういう状況を打破する為に、日本セキュリティ監査協会の設立を画策。
行政の主導ではなく、民間主導でセキュリティ成熟度の向上を計る。 |
| |
|
| Q: |
経済産業省による情報セキュリティ監査制度の運営手法・体制・マニュアル等が不十分なのではないか? |
| A: |
不十分さは業務分析もなく監査を行っている場合、見受けられる。
コンセンサスを得ながら制度のレベルをあげてゆく。 |
| |
|
| Q: |
キーワードの定義
[BS7799とは?] |
| A: |
BS7799とは、業種を問わない情報セキュリティマネジメントシステム(ISMS)の規格です。
◆BS7799−Part1 情報セキュリティ管理実施基準(ISO17799)
上記、BS7799−Part1(ISO17799)を邦訳したガイドラインが、JIS
X 5080。
「ベストプラクティス」と呼ばれる10項目の監査項目サンプル集を持つ。世界各国で採用。
◆BS7799−Part2 情報セキュリティ管理システム仕様(ISO化は未決定)
この規格がないとISOの様に世界でのビジネスが出来なくなるとの懸念があり、日本は反対の立場を取る。
BS7799−Part1は監査チェックポイントとして、うまく使えればいい。
ベストプラクティスの中からその企業に合った監査項目を選び、更に自社独自の項目も足して
運用できるのが使いやすいと思われる理由。 |
| |
|
| Q: |
キーワードの定義
[情報セキュリティマネジメントシステム(ISMS)とは?] |
| A: |
情報セキュリティマネジメントシステム(ISMS)とは、組織の情報資産を守るための
管理枠組みのことを言います。経済産業省(旧通産省)がBS7799などに基づいて提唱。 |
| |
|
| Q: |
情報資産価値の見積り→試算が出来ない。これを守る為にどうコストを掛ければよいのか? |
| A: |
事故発生時の被害額が試算のひとつの手法である。
【JNSAの資料より】2002年版
宇治市、個人情報漏洩事故の試算例。
判決:10000円×28520人+弁護士費用
想定慰謝料:被害額算定32億
情報漏洩のPointを換算:最大10万円
→会社の存続にかかわる情報資産に関してはTOPが評価するしか方法がない。 |
| |
|
|
| ■ |
ディスカッション |
| |
| ★ |
リスク分析に関して |
| |
・セキュリティ監査協会においてもワーキンググループがあり、リスク分析はいつも躓くところ。
そしてその結果を共有すべき。 |
| |
|
| ★ |
参加企業の現状など |
| |
・監査をお任せで受けるだけでなく、監査法人への指導もしっかりと行っている。
・書類のみ提出のカタチだけの監査ではだめ。
・ホームページを外部に委託している場合の、外部の監査も問題。
・個人情報の漏洩は評価しやすいが、会社の資産は評価しにくい。
・セキュリティポリシーは作成済みだが、実行に移せていない。
→規定を直すばかりで、なかなか実行に移せないこともある。情報資産の評価作業も優先度は低い。
・スタンダードまでで、プロシージャーにおちていない。 |
| |
|
| ★ |
ポリシー作成にあたり |
| |
・監査を受ける教育、社内のリテラシーをあげる。
・ある部分はIT(ツール)を使う。
・リスク分析の基準を細かくお互いに理解することが重要。
・資産の価値の決め方の規定を決める。(何をどのように扱うべきなのか)
(ご参考)JNSAのホームページにポリシ例などあります。http://www.jnsa.org/index.html |
| |
|
| ★ |
監査を受ける |
| |
[監査を受ける側のメリットとは?]
・外部に委託している場合、そこが監査を受けていればOKなので、
その部分はOKでとおる。
・セキュリティの部分を公開することは危険。でも、監査の時には公開を求められる。
矛盾を感じる。
→責任は誰が取るのか、を明確に。
どこからどこまでが自分の責任、ここまでやれば評価されるなど、ガイドラインを決める。 |
| |
|
| ★ |
海外の情報モラルについて |
| |
[海外に支店や関係会社等、ある場合]
・日本版をそのまま翻訳して使うのは上手くいかない。
・各国の文化を踏まえて、ルールを決める。罰則規定も明確に。 |
| |
|
| ★ |
まとめ |
| |
・整合性のあるシステム監査とは、セキュリティ監査を融合したもの。
システム監査基準を、セキュリティ監査項目まで網羅したものとして見直すべき。
自由度を持たせてセキュリティポリシを作成し、同時に利用運営の方法の提供も行う。
・情報資産の評価は大げさに考えない。
小さな具体性を持ったものから始めて、その評価をボトムアップで上げるやり方ならば
組織の合意は得られる。 |
| |
|
|
|
