昨年の12月に経済産業省より、経営者のリーダシップの下でサイバーセキュリティ対策を推進する必要性を説明した「サイバーセキュリティ経営ガイドライン」が公表された。同ガイドラインでは経営者が認識する必要がある「3原則」と情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」が示されている。本年度はサイバーセキュリティ経営ガイドラインの内容をベースに以下の内容の検討を実施する。
・各項目を実施するための具体的な方策、ガイド項目の改善案の検討
・ガイドラインを活用して経営層にアプローチする方法の検討(実施理由、効果等)
・ISO/IEC27014:2013(情報セキュリティガバナンス)の改訂に向けた意見集約
IPAの調査によると、従業員数300人以上の国内企業のCSIRT設置率は20.2%、CSIRTと同等の機能を有するインシデント対応組織の設置率は48%と、多くの企業でCSIRT等の設置が進んでいる。サイバー攻撃が増加している昨今においてCSIRT等の重要性が高まっている中、今後は効果的に運用することが企業のセキュリティレベル向上に必要と考えられる。そこで、今年度は以下の内容を検討する。
・経営から見たCSIRTのあり方(緊急対応と危機管理)
・CSIRT構築前後の課題と対応策の共有(例:CSIRTを担う人材の確保・育成、CSIRTの所掌範囲(海外拠点、制御システム等)、エスカレーション等)
一般に、情報セキュリティ活動に関する明確な尺度がないため、組織の情報セキュリティ担当部門では、どのように情報セキュリティ活動の状況や課題を把握し、経営陣に報告するか、悩むケースが多いと考えられる。
そこで、2012年度は、事例分析等を通じて、測定項目や評価方法等の暫定案を策定するとともに、情報セキュリティ活動の見える化に関する事例を整理し、問題とその改善案をとりまとめた。その一方、経営陣がそもそも情報リスクや情報セキュリティ活動に関心が薄く、適切な評価がなされていない現状も指摘された。
これを受けて、2013年度はこうした状況を変える新たなアプローチとして、経営陣が最も関心を寄せる事項、すなわち経営目標や事業方針・計画等に必要な情報セキュリティの取組みに焦点を当て、情報リスクや必要な対策を見える化し、組織として適切に対応するため、経営陣、情報セキュリティ責任者及びスタッフ、現場の情報セキュリティ担当者のそれぞれに必要な行動や仕組みを具体化した。
さらに、2014年度は、これらの成果の整理と具体的な活用を目指して、2012年度の成果を活用したデータの整備(アンケート調査)と、2013年度の成果の発展(新たな業種でのモデルの策定)に取り組んだ。
本年度は、「経営を説得するための『見える化』」の実現策として、「現状」に関するセキュリティ評価と、「将来(事業戦略・計画)」におけるセキュリティの導出モデルについて検討してきたが、これらの成果のさらなる発展・高度化をめざした。具体的には、過去3カ年のWGでの成果とそこから導出された検討課題を中心に、本年度の取組みを検討した。
不正アクセスやウイルス感染、情報漏えい等の情報セキュリティの事故の発生原因は、組織の外部からの攻撃と内部における不正行為の大きく2つに分類される。外部からの攻撃に対しては、システム担当部署による技術的対策の実施により、一定の効果を期待することができる。一方、内部における不正行為の場合、その行為者は、情報や情報システムにアクセスする権限を有する場合が多く、アクセス制御等による技術的な対策のみでは不正行為を抑止することは難しい。内部不正を防止するためには、技術的な対策と合わせ、不正行為が発生する環境要因や心理的要因等についても考慮し、組織横断的な対策を講じる必要がある。
企業における情報セキュリティ対策において、これまで不正行為が発生する環境要因や心理的要因にフォーカスされてこなかったために、情報システム部門が対処すべきリスクとされる傾向があった。WG2では、内部不正行為について様々な視点で検証し、情報セキュリティ対策は、システム担当部署のみではなく、他の部署も含めた組織横断的な対策が必要であることを理解し、内部不正に対する対策の考え方を身につけることを目的とした。
昨年度は、IPA「組織における内部不正ガイドライン」のチェックリストをベースにした検討を行ったが、本年度は、会員企業各社の事例の検証を行った。さらに、内部不正対策を検討するにあたり、環境犯罪学や経済学等の新たな視点についても検討を実施した。
一般に情報セキュリティ活動に関する明確な尺度がないため、組織の情報セキュリティ担当部門では、以下の点で悩むケースが多いと考えられる。そこで、2012年度は、事例分析等を通じて、測定項目や評価方法等の暫定案を策定するとともに、情報セキュリティ活動の見える化に関する事例を整理し、問題とその改善案をとりまとめた。その一方、経営陣がそもそも情報リスクや情報セキュリティ活 動に関心が薄く、適切な評価がなされていない現状も指摘された。
そこで2013年度は、こうした状況を変える新たなアプローチとして、経営陣が最も関心を寄せる事項、すなわち経営目標や事業方針・計画等に必要な情報セキュリティの取組みに焦点を当て、情報リスクや必要な対策を見える化し、組織として適切に対応するため、経営陣、情報セキュリティ責任者及びスタッフ、現場の情報セキュリティ担当者のそれぞれに必要な行動や仕組みを具体化した。
本年度は、2013年度のモデルに係る適用業種を多様化して,今回と同様に経営目標・経営課題,事業方針・計画等から情報セキュリティ目的・目標を導出できるか検証し、様々な企業が参考にできるようにバリエーションを確保する。ま た、将来の事業計画ではなく既存のシステムの運用や改善を対象とした場合の情報セキュリティ目的・目標の設定等、フォーカスのポイントやプロセスに関する多様化も検討する。
企業の情報・ITを巡る深刻な脅威としては、サイバー攻撃や災害、さらに内部犯行が挙げられる。特に内部犯行については実効的な対策が乏しく、発生した際の被害規模が大きい点で深刻である。
そこで、本WGでは、内部者(グループ企業、委託先を含む)の犯行をどのように防ぐべきか、技術的対策の要否や教育・モラル形成のあり方等について検討を行う。
一般に情報セキュリティ活動に関する明確な尺度がないため、組織の情報セキュリティ担当部門では、以下の点で悩むケースが多いと考えられる。
・情報セキュリティ活動の状況や課題等をどのように把握するか
・情報セキュリティ活動の状況や課題等を経営陣にどのように報告するか
前者については、現在、各社が状況把握のために行っている情報収集・分析の方法を比較・整理する方向と、情報セキュリティ上の様々な脅威に対し、どのような対策をどこまでとるのが妥当か、各社の取組やリスクの許容範囲等を比較し、妥当な水準の考え方を明らかにする方向がある。
また、後者については、必ずしもITや情報セキュリティの詳細に関して知見が十分でない経営陣が適切に理解し正しい評価を行えるように、情報セキュリティ活動の状況や課題等の報告において各社が行っている工夫(評価項目の設定、可視化等)を整理し、効果的な方法を明らかにする方向がある。
そこで、昨年度は、事例分析等を通じて、測定項目や評価方法等の暫定案を策定するとともに、情報セキュリティ活動の見える化に関する事例を整理し、問題とその改善案をとりまとめた。
本年度は、情報セキュリティ活動の測定項目や前提となるリスクイメージを精査した上で、アンケート等の実査を通じて、企業各社の状況について調査する。
他社に情報資産の管理を委ねるクラウドサービスの利用は、ユーザ企業の情報セキュリティガバナンス確立に、大きな影響を与える。クラウドサービスは標準サービスであり、ユーザ側の自由度が制約されているため、ガバナンスが及びにくいことがその理由である。多くの事業者はリスクに対し真摯に対応しているケースが多いと考えられるが、情報開示等が充分でなく、ユーザ側にはリスクの状況を把握しにくいのが現状である。
そうした背景を踏まえ、経済産業省では「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」を発行し、それに基づき、 日本セキュリティ監査協会 - クラウドセキュリティ推進協議会においてクラウド情報セキュリティ監査制度の策定に取り組んでいる。また、クラウド事業者の情報開示を促進するため、マルチメディア振興センターが「クラウドサービス安全・信頼性に係る情報開示認定制度」を運営している。
そこで、本事業では、会員各社におけるクラウドサービス利用時のセキュリティリスク対処に関する取り組み(社内基準やルール、基本方針等)を収集・整理し、事例集としてとりまとめる。
具体的には、クラウドサービスの利用モデルを複数設定し、それに応じて想定されるセキュリティリスクを低減するため、各社が行っている工夫に注目する。
利用モデルやセキュリティリスクのイメージは、たとえばクラウド事業者等との意見交換等を通じて明らかにする。
一般に情報セキュリティ活動に関する明確な尺度がないため、組織の情報セキュリティ担当部門では、以下の点で悩むケースが多いと考えられる。
・情報セキュリティ活動の状況や課題等をどのように把握するか
・情報セキュリティ活動の状況や課題等を経営陣にどのように報告するか
前者については、現在、各社が状況把握のために行っている情報収集・分析の方法を比較・整理する方向と、情報セキュリティ上の様々な脅威に対し、どのような対策をどこまでとるのが妥当か、各社の取組やリスクの許容範囲等を比較し、妥当な水準の考え方を明らかにする方向がある。そこで、測定項目や評価方法等について検討を行った。
また、後者については、必ずしもITや情報セキュリティの詳細に関して知見が十分でない経営陣が適切に理解し正しい評価を行えるように、情報セキュリティ活動の状況や課題等の報告において各社が行っている工夫(評価項目の設定、可視化等)を整理し、効果的な方法を明らかにする方向がある。そこで、事例分析等を通じて、上記の方向で情報セキュリティ活動の見える化に関する問題の改善案を提示した。
スマートフォンやタブレット端末、SNSなど、新しいIT端末・メディアが登場すると、組織によっては、業務の効率化や他社との差別化をもたらす鍵としてユーザ部門が導入を求めるケースが見られる。
また、震災に伴い、在宅勤務制度の導入や見直しが検討されており、その中で、自宅等における業務環境を確保する手段として、私物機器(携帯、PC等)の業務利用も検討課題とされる可能性がある。
これらは、メリットも期待できる反面、セキュリティ上の課題も少なくないため、情報セキュリティ担当部門から見ると、手放しで導入を容認することは難しい。したがって、スマートフォンやタブレット端末、SNSなどの新しいIT端末・メディアや、私物機器の業務利用に関して、どのようなリスクがあり、それに対し、会員各社がどのようなスタンスで対応しているかを共有することは、今後の方針を考える上で有効である。そこで、アンケートや事例分析等を通じて、会員各社における対応方針の実態を整理した。