第二回情報モラル・セキュリティ分科会(東京) 議事録
| 第二回情報モラル・セキュリティ分科会(東京)
議事録 |
| 日時: |
2003/11/12(水) 15:00〜18:00 |
| 会場: |
クオリティ(株)6F会議室 |
|
|
|
| 講師: |
帝塚山大学 経営情報学部 教授 高瀬宜士 氏 |
| 発表内容: |
「セキュリティ監査」の事例紹介から、その運用手法について |
|
| 司会・進行: |
情報モラル・セキュリティ分科会 座長 富士フイルムコンピューターシステム(株) 橋本純生 氏 |
| |
(富士フイルムコンピューターシステム株式会社 システム事業部 主席技師) |
|
※当分科会の運営方針により、個人/会社名を特定できる発言、および発表者から公開の許可を得られなかった内容は
議事録より削除されています。あらかじめご了承ください。 |
| |
| ■ |
プレゼンテーション (発表内容は資料をご参照ください) |
| |
質疑応答 |
| |
| Q: |
セキュリティポリシー作成後の社員への教育について
社員の知識レベルが違う場合の教育方法は?また誰に行うべきか。 |
| A: |
社員全員が対象だが、特に課長レベルの教育が重要。課長教育、部長教育の中に組み込んでもらう。
情報システム部門の月次報告会議に課長レベルの責任者に出席させて説明を行う方法も効果がある。
半年に1回程度は開催することが望まれる。
議題としては、もし事が起きた時にはどういった代償を払わねば成らないか、事例の提供ができると良い。
例えば、ソフトの違法コピーで摘発され、新聞に取り上げられた場合のマイナスの効果についての事例など |
| |
|
| Q: |
先を見越したウイルス対策を行っていく為にはどうすればいいのか? |
| A: |
常にワクチンソフトのパターンファイルの自動更新をして最新の状態にしておく。
パターンファイルの更新については、サーバーにトラフィックが集中するので
IPアドレスによって分散すると方法もある。 |
| |
|
| Q: |
例えば中国で買ったソフトが違法コピーだった場合、どのように対処すればよいのか? |
| A: |
エビデンス(証拠となるもの)がないと適正に購入したとは認められない。
日本企業の現地法人に対して、違法コピーをなくすことを徹底。
(容易に判別がつく場合は違法)
→海外で違法コピーソフトを買ってきた場合、違法。
→違法とはわからないで買ってきたソフトが違法だった場合も違法。
(見えない場合は、製造した会社が違法)
→違法のOS・アプリケーションが組み込まれているPCを販売している場合は、その販売会社
が損害賠償の対象となる。 |
| |
|
| Q: |
個人情報保護を優先し、プライバシーマークを取得。
セキュリティポリシーとだぶる部分があるので、効率的に監査を進めるには? |
| A: |
個人情報保護を含めたセキュリティポリシー(及びガイドライン)にまとめ直すことが望まれる。 |
| |
|
| Q: |
セキュリティーポリシーを導入すると、運用コストはあがるのか?人は足りるのか? |
| A: |
セキュリティポリシーの運用が回りだすまでは大変である。
経営TOPが積極的に、そうするように持っていくことが重要である。そうしないと、全社的に広がらない。
トラブルが起こった時の損害を考えると、お金の問題ではない。会社として何を守りたいかである。 |
| |
|
| Q: |
内部監査を行うに当たり考えなければならない事は何か? |
| A: |
トップがどう考えているかが一番重要。トップの意識が薄いと、監査部門が動きにくい。 |
| |
|
| Q: |
監査の担当者がいない場合、社内で誰かがやるのは問題ないのか? |
| A: |
実際にやっている人と、監査を行う人が同じではまずいだろう。
業務監査、コンピューターログを見た等、内部牽制が働くようにするのも重要。
報告内容のレベルの差はあるが情報を社内にオープンにする事が大事である。 |
| |
|
| Q: |
関連連結会社、海外の事業所の場合のポリシー作成について
単純に日本版を翻訳するだけでいいのか?何か配慮することは? |
| A: |
グループ全体のルールを作成。ただし、国ごとの制限など、ルールを考慮する必要がある。
EUの場合、メールの中身は見てはいけないという決まりがある。
(参考)IBMの社員行動規範(グローバルな)がWebで公開されている |
| |
|
| Q: |
外部監査について、業務委託先との契約、監査はどこまで踏み込めばいいのか?
機密保持契約だけでいいのか? |
| A: |
業務委託先に定期的に顔出すだけでも、効果あると思う。
業務委託先がセキュリティポリシーを持っているところは意識高い。 |
| |
|
| |
具体的に業務委託先への監査行っているとことは、参加者の企業にはなかった。 |
| |
|
|
| ■ |
ディスカッション |
| |
| ● |
各社の状況 |
| |
・セキュリティポリシー作成中
・ポリシーはある程度あるが、プロシジャーがなかなかできない。
・セキュリティーポリシー策定中、それにともなう組織のつくりかたを検討中。
・セキュリティに対する意識が低い。
・セキュリティ教育を始める
・人員流動的。短期の人への意識付けが悩み
・監査はまだ行っていない。調査を開始した。
・クライアントへ誓約書を取っている企業はまだ少ない。 |
| |
|
| ● |
セキュリティ教育を効果的に行うには |
| |
・情シス部門の責任者会議で、顔出して話をする
・情シスの課長以上に意識付けを徹底
・トラブル、事例を話す
・情報が集まるところを1箇所にする。誰に聞けばわかるか、を明確に。
・教育のレベルはある程度のものであきらめる。
・人事の意識付け
・ポリシー作成中の会社は、もし親会社があれば、親会社に来てもらうのも手。 |
| |
|
| |
ポイント
何か起こった時に、企業の意識を変えるのにトラブルを上手く利用する。
ピンチはチャンス。そのチャンスを使って、トップへの根回しをしておく。
→何か起こった時は社内に公開すべき。
→システム監査人は、社長にものが言える人。 |
| |
|
|
|
