第一回情報モラル・セキュリティ分科会(東京) 議事録

第一回情報モラル・セキュリティ分科会(東京) 議事録
日時: 2003/9/25(木) 15:00〜18:00
会場: クオリティ(株)6F会議室
テーマ: 「情報セキュリティ監査制度を利用するメリットについて」
講師: 株式会社 ディアイティ 代表取締役社長 (JNSA : 日本ネットワークセキュリティ協会 事務局長)下村正洋 氏
発表内容: 〜情報セキュリティ監査制度と日本ネットワークセキュリティ協会の活動について〜
司会・進行: 情報モラル・セキュリティ分科会 座長 富士フィルムコンピュータシステム株式会社 橋本純生 氏
※当分科会の運営方針により、個人/会社名を特定できる発言、および発表者から公開の許可を得られなかった内容は
    議事録より削除されています。あらかじめご了承ください。
 
プレゼンテーション
  質疑応答
 
Q: 情報セキュリティ監査の公に認められた資格がない。保証型の監査を行うとしても
監査の質が伴わないのではないか?有名な監査、コンサル会社に集中しがちなのでは?
A: 現状は仕方が無い。そういう状況を打破する為に、日本セキュリティ監査協会の設立を画策。
行政の主導ではなく、民間主導でセキュリティ成熟度の向上を計る。
   
Q: 経済産業省による情報セキュリティ監査制度の運営手法・体制・マニュアル等が不十分なのではないか?
A: 不十分さは業務分析もなく監査を行っている場合、見受けられる。
コンセンサスを得ながら制度のレベルをあげてゆく。
   
Q: キーワードの定義 [BS7799とは?]
A: BS7799とは、業種を問わない情報セキュリティマネジメントシステム(ISMS)の規格です。
◆BS7799−Part1 情報セキュリティ管理実施基準(ISO17799)
 上記、BS7799−Part1(ISO17799)を邦訳したガイドラインが、JIS X 5080。
 「ベストプラクティス」と呼ばれる10項目の監査項目サンプル集を持つ。世界各国で採用。
◆BS7799−Part2 情報セキュリティ管理システム仕様(ISO化は未決定)
 この規格がないとISOの様に世界でのビジネスが出来なくなるとの懸念があり、日本は反対の立場を取る。

BS7799−Part1は監査チェックポイントとして、うまく使えればいい。
ベストプラクティスの中からその企業に合った監査項目を選び、更に自社独自の項目も足して
運用できるのが使いやすいと思われる理由。
   
Q: キーワードの定義 [情報セキュリティマネジメントシステム(ISMS)とは?]
A: 情報セキュリティマネジメントシステム(ISMS)とは、組織の情報資産を守るための
管理枠組みのことを言います。経済産業省(旧通産省)がBS7799などに基づいて提唱。
   
Q: 情報資産価値の見積り→試算が出来ない。これを守る為にどうコストを掛ければよいのか?
A: 事故発生時の被害額が試算のひとつの手法である。
【JNSAの資料より】2002年版
宇治市、個人情報漏洩事故の試算例。
判決:10000円×28520人+弁護士費用
想定慰謝料:被害額算定32億
情報漏洩のPointを換算:最大10万円

→会社の存続にかかわる情報資産に関してはTOPが評価するしか方法がない。
   
ディスカッション
 
リスク分析に関して
  ・セキュリティ監査協会においてもワーキンググループがあり、リスク分析はいつも躓くところ。
  そしてその結果を共有すべき。
   
参加企業の現状など
  ・監査をお任せで受けるだけでなく、監査法人への指導もしっかりと行っている。
・書類のみ提出のカタチだけの監査ではだめ。
・ホームページを外部に委託している場合の、外部の監査も問題。
・個人情報の漏洩は評価しやすいが、会社の資産は評価しにくい。
・セキュリティポリシーは作成済みだが、実行に移せていない。
→規定を直すばかりで、なかなか実行に移せないこともある。情報資産の評価作業も優先度は低い。
・スタンダードまでで、プロシージャーにおちていない。
   
ポリシー作成にあたり
  ・監査を受ける教育、社内のリテラシーをあげる。
・ある部分はIT(ツール)を使う。
・リスク分析の基準を細かくお互いに理解することが重要。
・資産の価値の決め方の規定を決める。(何をどのように扱うべきなのか)

(ご参考)JNSAのホームページにポリシ例などあります。http://www.jnsa.org/index.html
   
監査を受ける
  [監査を受ける側のメリットとは?]
・外部に委託している場合、そこが監査を受けていればOKなので、
  その部分はOKでとおる。
・セキュリティの部分を公開することは危険。でも、監査の時には公開を求められる。
  矛盾を感じる。
→責任は誰が取るのか、を明確に。
  どこからどこまでが自分の責任、ここまでやれば評価されるなど、ガイドラインを決める。
   
海外の情報モラルについて
  [海外に支店や関係会社等、ある場合]
・日本版をそのまま翻訳して使うのは上手くいかない。
・各国の文化を踏まえて、ルールを決める。罰則規定も明確に。
   
まとめ
  ・整合性のあるシステム監査とは、セキュリティ監査を融合したもの。
  システム監査基準を、セキュリティ監査項目まで網羅したものとして見直すべき。
  自由度を持たせてセキュリティポリシを作成し、同時に利用運営の方法の提供も行う。
・情報資産の評価は大げさに考えない。
  小さな具体性を持ったものから始めて、その評価をボトムアップで上げるやり方ならば
  組織の合意は得られる。