第二回情報モラル・セキュリティ分科会(大阪) 議事録

第二回情報モラル・セキュリティ分科会(大阪) 議事録
日時: 2003/12/9(火) 14:00〜17:00
会場: ヴィアーレ大阪 2F パールルーム
テーマ: 「情報セキュリティ監査制度を利用するメリットについて」
講師:
株式会社 ディアイティ 河野省二 氏 JNSA : 日本ネットワークセキュリティ協会 監査WG
  JASA : 日本セキュリティ監査協会 スキル部会 副部会長
司会・進行: 情報モラル・セキュリティ分科会 座 長 帝塚山大学 経営情報学部 教授 高瀬宜士 氏
※当分科会の運営方針により、個人/会社名を特定できる発言、および発表者から公開の許可を得られなかった内容は
    議事録より削除されています。あらかじめご了承ください。
 
プレゼンテーション
  質疑応答
 
Q: 基準、制度がいろいろあって、いったいどれに向かって取り組めばよいのか迷う。
A: 日本は情報セキュリティ政策(国の政策)がガイドライン。お客様は誰か?がポイント。
アメリカは差別化のためにセキュリティがある。

【情報セキュリティ監査制度】
情報資産のマネジメントが正しく行われているか、具体的な管理ができているかを監査。
   
Q: 情報セキュリティ監査を受けるメリットは?
A: これからはやってるところとやってないところの差が出てくる。
ISMSを取得することによって信用があるので、仕事に繋がるということ。
日本は、他社がやっているから自分のところもやるという風潮がある。
→経営戦略として、取得する。

(例)お客様同士の紛争→セキュリティトラブル
対策をとっていないので、責任の所在が不明確。誰が責任をとるのかわからない。
→具体的に起りうることについて、責任は誰か、どういう対策をとるのかなど決める。
→基準、ルール作り
紳士協定は罪を問うときには役に立たない。
   
Q: セキュリティに予算を取るには?
A: これをやってなかったら、こうなりますよ。と言うこと。そして、何か起こった時に実証すると効果的。
   
ディスカッション
 
参加企業の現状など
  ・情報セキュリティポリシー策定後、これから運用していこうという段階。
・情報セキュリティポリシー策定しているが、きちんと守られているかは自信がない。
・監査を受けたことがない。
・責任の所在を明確にとお達しが出ただけ。
・予算の関係で対策まだ。
・被害に合い、感染後の対策を明確に文書に残すことにした。
   
ポリシー作成にあたり
  ・システムの情報管理とは
→物理的なセキュリティ/情報セキュリティ
・ツールを上手く導入するのも大切。
・ITシステムの運用
(例)アクセス権の整理
→システム管理者、利用管理者は別々に
   利用手順書を管理者に提出して、アクセス権をもらい、利用する人が責任を持つ。
   アクセス管理ができないものはネットワークに繋いではいけないという考えが前提。
・ウイルスが入るのを防ぐだけでなく、社内から社外へ出るのを防ぐのも大切。
・利用者アンケートを全社的にやるのもよい。社内ユーザの意識付け、情報のエスカレーションになる。
・例えば、なぜファイアーウオールを入れたのか、理由を社員に説明、教育する必要がある。
・セキュリティポリシー等、簡単に検索できるようにしておく。

対策基準、実施手順
基準は情報システム作成、手順書は現場が作成し、責任を持たせる。
→責任を分割。社内SLAも必要。
(例)サーバが止まった場合など、社内サービスデスク、社内SLAを持っている会社も増えている(大企業など)
・文系の人にもわかりやすい文書で作成する。誰が読んでも同じ判断で理解できるもの。明確に、厳密に。
・細分化することによって、より実効性を高めていく。形式的なものではだめ。
・業界ごとに特徴のある基準。業種によって、お客様も違うので、努力するものが違ってくる。
→誰に認められるのかはっきりしないと、努力する方向がずれる。

(ご参考)JNSAのホームページにポリシ例などあります。 http://www.jnsa.org/index.html
   
監査を受ける
  株式公開企業、セキュリティのベンダーは3年以内に監査を受けなくてはならない。
他は、5年以内に受けなくてはならない。

・監査して欲しいことを宣言して、監査してもらうのが効果的。
→会計監査は、揃える書類が決まっているが、この監査は、まだまだ今から作っていくものなので、
   監査して欲しいものを監査してもらえる。
・不信感を持つ対象に向けて監査を行う。
・監査の目的からすると、外部監査がよいのでは。
・セキュリティ部分を公開することについて。
→公開に踏み切れない理由:弱点を出したくない、出すのは危険。
   公開すべき情報、公開しない情報ある。セキュリティのマネジメントが必要。
   
まとめ
  ・セキュリティの基本:対策は悲観的に(社員もミスをするから)
・法律でしばるのは危険だが、ガイドラインは必要である。
・痛い目にあうと、社内の認識が変わるので、それを上手く利用すること。