SAAJ近畿支部第145回定例研究会報告(報告者:小河裕一)

            報告者:No1710 小河裕一

1.テーマ :「中小企業におけるリスク認識の手法について」
~JNSA西日本支部WG活動を通じて~

2.講師  :富士通関西中部ネットテック株式会社 JNSA西日本支部 嶋倉 文裕氏
3.開催日時:2014年3月20日(木) 18:30~20:30
4.開催場所:大阪大学中之島センター2階 講義室201
5.講演概要:

新しい画像講師がJNSA(日本ネットワークセキュリティ協会)の西日本支部情報セキュリティチェックシートWG活動におけるアウトプットをもとに、以下の事項に対して講演を頂いた。

○「第一次情報セキュリティチェックシートWG」での活動

○「出社してから退社するまでのリスク対策WG(9to5リスクWG)」での活動

○「第二次情報セキュリティチェックシートWG」での活動

「第一次情報セキュリティチェックシートWG」での成果

まず作成したチェックシートは以下のような特徴を持っていた。

 ・可用性を重視した作りとなっている。 ・自らが対策を行うよりも「委託の積極的な活用」も取り込んだシートになっている。 ・ISO/IEC2700を絞り込み、システム管理基準も取り込んだ38項目のチェックシート。 (経営層向け 17項目、責任者・担当者向け 21項目) アンケート形式でチェックリストの有用性を調査したところ、有用とした企業はごくわずかであった。 この原因として組織(中小企業)側のトラブル経験が無い(もしくはトラブルと思っていない)ためリスクを正しく認識している企業が非常に少ないためであるこということが判明した。 このことから、まず「情報資産台帳の作成からリスクを認識してもらう」活動にシフトした。 しかし、ここでも「情報資産」と「固定資産」の区別がつかない企業もあり、ここからも「リスク認識につながらない」と判断した。 http://www.jnsa.org/result/2008/west/0812report.pdf

「出社してから退社するまでのリスク対策WG(9to5リスクWG)」での成果

資産の洗い出しからではリスク認識にはつながらない。 日常業務の中でヒューマンエラーを少なくする仕組みを考慮することで社員の意識向上とスキルアップを図った。 さらにIT系と非IT系の業務と分類して洗い出した。この結果を手引書へとまとめた。 http://www.jnsa.org/result/2010/chusho_security_tebiki_110330.pdf

「第二次情報セキュリティチェックシートWG」

 このWGでの作業は情報セキュリティチェックシートと9to5手引書の紐付けであった。 チェックシートはISMSベースであり範囲が広く、また管理策からはトラブル事象に結びつきにくい状況であった。このため、手引書と結びつくことで対策を理解しやすくなる。 今回のセキュリティチェックシートは上位層と下位層に分割。 上位層はリスクとは関係なく、情報セキュリティ対策を持続的に行うためのフレームワークという位置づけ。 下位層はISMSとシステム管理基準から抜粋したセキュリティ対策とシステム管理。 どんなトラブルが起きえるのか?や判断基準も追記している。 これらのチェックシートは自分たちの仕事のやり方に潜むリスクを認識して、現状を把握し 対策を検討する場合に使用できる。

6.所感

 講師の嶋倉氏がJNSAのWG活動で作成された集大成を発表いただきました。講義の中でも述べておられましたが、ISMS等の管理策ではなかなかトラブル事象に結びつかないため中小企業だけでなくとも「セキュリティ」に対する実感が無く、対策までたどりつかないと思われます。 そんな中で「日常業務の流れ」と「管理策」を結びつけてチェックシートとして成果とされたことは、非常に有益な資料になったのではと想像できます。 次のステップとしては、会場から質問も出たが「いかに成果物を世間で認知してもらい幅広くセキュリティ対策のために使ってもらうことができるか」を考えてもらうことに違いありません。 今回聴講いただいた方々にも、一度成果である「チェックシート」を活用してみた上で周囲に広めていただきたいと考えております。

以上