第二回情報モラル・セキュリティ分科会(大阪) 議事録
| 第二回情報モラル・セキュリティ分科会(大阪) 議事録 |
| 日時: |
2003/12/9(火) 14:00〜17:00 |
| 会場: |
ヴィアーレ大阪 2F パールルーム |
|
| テーマ: |
「情報セキュリティ監査制度を利用するメリットについて」 |
|
| 講師: |
| 株式会社 ディアイティ 河野省二 氏 |
JNSA : 日本ネットワークセキュリティ協会 監査WG |
| |
JASA : 日本セキュリティ監査協会 スキル部会 副部会長 |
|
|
| 司会・進行: |
情報モラル・セキュリティ分科会 座 長 帝塚山大学 経営情報学部 教授 高瀬宜士 氏
|
|
※当分科会の運営方針により、個人/会社名を特定できる発言、および発表者から公開の許可を得られなかった内容は
議事録より削除されています。あらかじめご了承ください。 |
| |
| ■ |
プレゼンテーション |
| |
質疑応答 |
| |
| Q: |
基準、制度がいろいろあって、いったいどれに向かって取り組めばよいのか迷う。 |
| A: |
日本は情報セキュリティ政策(国の政策)がガイドライン。お客様は誰か?がポイント。
アメリカは差別化のためにセキュリティがある。
【情報セキュリティ監査制度】
情報資産のマネジメントが正しく行われているか、具体的な管理ができているかを監査。 |
| |
|
| Q: |
情報セキュリティ監査を受けるメリットは? |
| A: |
これからはやってるところとやってないところの差が出てくる。
ISMSを取得することによって信用があるので、仕事に繋がるということ。
日本は、他社がやっているから自分のところもやるという風潮がある。
→経営戦略として、取得する。
(例)お客様同士の紛争→セキュリティトラブル
対策をとっていないので、責任の所在が不明確。誰が責任をとるのかわからない。
→具体的に起りうることについて、責任は誰か、どういう対策をとるのかなど決める。
→基準、ルール作り
紳士協定は罪を問うときには役に立たない。
|
| |
|
| Q: |
セキュリティに予算を取るには? |
| A: |
これをやってなかったら、こうなりますよ。と言うこと。そして、何か起こった時に実証すると効果的。 |
| |
|
|
| ■ |
ディスカッション |
| |
| ★ |
参加企業の現状など |
| |
・情報セキュリティポリシー策定後、これから運用していこうという段階。
・情報セキュリティポリシー策定しているが、きちんと守られているかは自信がない。
・監査を受けたことがない。
・責任の所在を明確にとお達しが出ただけ。
・予算の関係で対策まだ。
・被害に合い、感染後の対策を明確に文書に残すことにした。 |
| |
|
| ★ |
ポリシー作成にあたり |
| |
・システムの情報管理とは
→物理的なセキュリティ/情報セキュリティ
・ツールを上手く導入するのも大切。
・ITシステムの運用
(例)アクセス権の整理
→システム管理者、利用管理者は別々に
利用手順書を管理者に提出して、アクセス権をもらい、利用する人が責任を持つ。
アクセス管理ができないものはネットワークに繋いではいけないという考えが前提。
・ウイルスが入るのを防ぐだけでなく、社内から社外へ出るのを防ぐのも大切。
・利用者アンケートを全社的にやるのもよい。社内ユーザの意識付け、情報のエスカレーションになる。
・例えば、なぜファイアーウオールを入れたのか、理由を社員に説明、教育する必要がある。
・セキュリティポリシー等、簡単に検索できるようにしておく。
対策基準、実施手順
基準は情報システム作成、手順書は現場が作成し、責任を持たせる。
→責任を分割。社内SLAも必要。
(例)サーバが止まった場合など、社内サービスデスク、社内SLAを持っている会社も増えている(大企業など)
・文系の人にもわかりやすい文書で作成する。誰が読んでも同じ判断で理解できるもの。明確に、厳密に。
・細分化することによって、より実効性を高めていく。形式的なものではだめ。
・業界ごとに特徴のある基準。業種によって、お客様も違うので、努力するものが違ってくる。
→誰に認められるのかはっきりしないと、努力する方向がずれる。
(ご参考)JNSAのホームページにポリシ例などあります。 http://www.jnsa.org/index.html |
| |
|
| ★ |
監査を受ける |
| |
株式公開企業、セキュリティのベンダーは3年以内に監査を受けなくてはならない。
他は、5年以内に受けなくてはならない。
・監査して欲しいことを宣言して、監査してもらうのが効果的。
→会計監査は、揃える書類が決まっているが、この監査は、まだまだ今から作っていくものなので、
監査して欲しいものを監査してもらえる。
・不信感を持つ対象に向けて監査を行う。
・監査の目的からすると、外部監査がよいのでは。
・セキュリティ部分を公開することについて。
→公開に踏み切れない理由:弱点を出したくない、出すのは危険。
公開すべき情報、公開しない情報ある。セキュリティのマネジメントが必要。 |
| |
|
| ★ |
まとめ |
| |
・セキュリティの基本:対策は悲観的に(社員もミスをするから)
・法律でしばるのは危険だが、ガイドラインは必要である。
・痛い目にあうと、社内の認識が変わるので、それを上手く利用すること。 |
| |
|
|
|
