お使いのブラウザが古いことを検出しました。 特定の機能にアクセスできない場合があります。 ブラウザを更新する

【情報セキュリティ セミナーレポート】第4次産業革命における技術流出リスク

2月13日、情報セキュリティマネジメントセミナー~第4次産業革命における技術流出リスク~を東京にて開催しました。 情報セキュリティに対する関心が高まる一方で、「人の情報漏洩に対する危機意識の薄さ」が昨今の多くの情報漏洩につながっていると言われています。そこで本セミナーでは、既に堅牢な情報セキュリティ対策を構築している部門以外の「思わぬところ」からの技術流出リスクの可能性も考慮する重要性などについてお伝えしました。

 

情報セキュリティMSをビッグデータ時代の経営に活かす

日本においても第4次産業革命を迎えデータは企業競争力の源泉としての色を深めており、既存事業の拡大や新規事業展開の必須要素であると同時に、ICTの発達により企業が保有する技術情報の流出リスクも高まっています。

そこで、ISO/IECの規格・標準の策定にも従事されている情報セキュリティ大学院の原田名誉客員教授をお招きし、ISO 27001をはじめとする情報セキュリティ規格をいかに経営に活かしていくかについてご講演頂くとともに、弊社寺田審査員よりSociety 5.0 時代に向けた情報セキュリティマネジメントシステムの活用についてご案内いたしました。

1部「企業経営における情報セキュリティ戦略とガバナンス」

講演者: 原田要之助 名誉客員教授

 

阪神・淡路大震災の経験を活かしたクライシスマネジメントを基とするISO 31000

日本では1995年に発生した阪神・淡路大震災をきっかけに、クライシスマネジメントの観点から危機管理の規格JIS Q2001が作られていました。その後、この日本の規格をもとにリスクマネジメントを追記する形で、日本やオーストラリアの主導により開発されたリスクマネジメントの国際規格がISO 31000なのです。

ISO Guide73:2009では、リスクを「目的に対する不確かさの影響」と定義されており、リスクが機会ともなることも認識されています。すなわち、リスクとは「目的」を持った時点で考慮する必要があります。例えば、ネットとITを活用したいという目的を持った時点で、サイバーセキュリティリスクについて考慮しておくことが大切です。

情報を「有体物」としたISO 27001:2005、「無体物」とするISO 27001:2013

また、情報セキュリティマネジメントシステムであるISO 270001は、情報という「無体物」を対象としており、権利を付与しようにも「所有権」のような明確な形は難しいなど法的に守ろうとしても、カバーされないものです。

情報は公開し共有することにより、社会全体の知識が増える反面、秘密としておくことで価値が増す場合もありますが、一旦渡したら取引は完了するという即時性や、後で取り返すことができない取引の不可逆性といった特質を保有しています。そこでCDなどに情報を保存し有体物とすることで管理し、責任者を特定していたのが2005年版までの考え方でした。

しかし、2013年版ではクラウドは資産として扱えないといった時代の流れから「有体物」による管理が破綻し、情報を「無体物」として扱うこととなったのです。しかし、企業などで情報資産として「有体物」で管理しているものについては、有体物の管理がなされれば十分です。外部に情報を預けるなどで、自分の管理下から外にでる場合には、「無体物」として管理を行うことになります。うまく使い分けることが肝要です。

ISOにおけるガバナンスの標準化

ISO/IEC 27001は認証規格であり、認証に必要なことのみに限定されています。日本では、あまり知られていませんが、ISO 27000のファミリー規格があります。例えば、新規に導入する際には、導入ガイドとしてISO/IEC 27003があり、マネジメントサイクルで必要となる測定のためにISO/IEC 27004が用意されています。また、経営者のためのガバナンスの規格ISO/IEC 27014があります(JIS Q27014)。そして、ISO/IEC 27001が要請するリスクマネジメントにはISO/IEC 27005が用意されていて、ISO 31000を補足しています。これらの規格は大変役立つ規格となっています。ISMSを海外などへ展開する場合,是非とも活用なさるとよいでしょう。

 

なお、情報セキュリティガバナンスISO 27014は、日本からのインプットをベースとした2013年に発効された国際標準規格で、情報セキュリティの状況に関する経営陣の見通しや、リスクに関する外部への開示のための規格です。

つぎに,経営者のためのガバナンスの規格がISOで開発中です。ISO/IEC 38500(ITガンバナンス,JISQ38505)以外にも、ISO 37000 組織のガバナンス(策定中)やISO/IEC 38505 データガバナンス(策定済み)、ISO/IEC38507 AIのガバナンス(策定中)の他、ブロックチェーンのガバナンス(策定中)、情報のガバナンス(策定中)などがあります。

リスクマネジメントの国際規格は広く使われるようになりました。ISO/IEC27001のシリーズは、ファミリー規格がたくさんありますが、うまく活用していただければと思います。昨今、ITガバナンスは広く使われるようになりました。是非とも関連する規格と合わせて活用してください。

 

2部「Society 5.0 時代に向けた情報セキュリティマネジメントシステムの活用」

講演者: 寺田和正 審査員


2030年には今と少し違う世界になっている。

近年、各企業が2030年に向けてSDGs目標を掲げるようになってきましたが、その目標達成度を可視化できていない企業も多くあります。SDGsの17のゴールを見ると、一見、環境マネジメントシステムで対応するような課題が多いように見えますが、実際には企業がビジネスとして、その製品や技術によって課題の解決に取り組むことが期待されているのです。

このSDGs達成には、イノベーションとパートナーシップがカギとなるといわれています。政府はSociety 5.0の推進をSDGs達成のための一つの柱として捉えています。そのSociety 5.0を実現するためには、ビジネスにおけるICTの位置付けを大きく転換するデジタル・トランスフォーメーションが必要です。

 

業務の効率化等を主な目的としてきたこれまでの「守り」のICTから、新たな価値想像を主とする「攻め」のICTとし、ICTとビジネスを一体化して考えることで、今までコストセンターだったICTを、プロフィットセンターとする考え方が必要です。さらに、ICTとビジネスが一体化した状況においては、経営、社員、情報システム部門が同じ言葉で会話できる環境を作り上げていくことが重要になります。

SDGsの普及やSDGsへの取組みは、共通の価値観によって、開かれた市場、オープンなビジネス環境をもたらすことは間違いありません。このようなオープンな環境でビジネスを推進する上では、EUにおける個人データ保護に関するルールを定めた『一般データ保護規則(GDPR)』についても十分に考慮しておく必要があるでしょう。一般な傾向として、国内の企業は、個人情報保護に関する感度が少々鈍い印象があります。特に海外に製品・サービスを提供している、又は、海外の企業とのパートナーシップを検討している企業であれば、国際的に受け入れられるレベルでの個人データの保護について十分な配慮が必要です。

リスク及び機会の決定と管理目的及び管理策の適用が、ISMS活用のポイント

ISO/IEC 27001の附属書Aでは、情報セキュリティ管理のためのベストプラクティス(ISO/IEC 27002)から導き出された、包括的な情報セキュリティ管理策がリストされています。附属書Aは、組織に適用される管理策に見落としがないことを検証するために利用可能です。また、ISO/IEC 27000シリーズの多くの規格が、このベストプラクティス(ISO/IEC 27002)を基礎として構成されているため、情報セキュリティベストプラクティスを適用するための枠組みとも言えるISO/IEC 27001に基づく情報セキュリティマネジメントシステムの採用は、クラウドサービスや、ITサービスマネジメント等の様々な分野への拡張性を備えたものになります。

さらに、ISO/IEC 27001:2013では、Annex L の採用により、従来に比べてリスクの概念が拡がり、現在想定される情報セキュリティリスクのみならず、将来の事業に関連するリスク及び機会を特定し、それらに取組む上でも有効なマネジメントシステムとなっています。特に、組織の外部及び内部の課題や、利害関係者のニーズ及び期待を考慮して、取組む必要のあるリスク及び機会を検討することは、情報セキュリティ分野での将来を見据えた戦略的な取組みを支援できる可能性があります。リスクの認識については、それぞれの役割や前提知識によって異なります。例えば、情報セキュリティ部門が容認したリスクであっても、経営者層としては許容できない、又は、その逆の事例など、よくある話です。リスクマネジメントプロセスでは、コミュニケーションや協議を重ねることによって、リスクアセスメント及びリスク対応の精度を上げていくことが期待されています。

情報セキュリティリスクへの対応は、技術だけで対処できるものではありません。実際に発生した多くの情報セキュリティ事故やインシデントが、“人(ヒト)”に起因して引き起こされていることを改めて認識し、技術、人、管理体制等を含む体系化されたマネジメントによって情報セキュリティの実現に向けて取組むことが必要なのです。

 

 

講師プロフィール:

 

原田要之助 教授
[ 情報セキュリティ大学院大学 客員教授 ]

1979年から電信電話公社(現NTT)研究所で通信ネットワークの監視、制御システム、通信ネットワークのセキュリティの研究等に従事。1999年から情報通信総合研究所でセキュリティ監査・コンサル業務に従事。2010年から情報セキュリティ大学院大学で情報セキュリティマネジメントとガバナンス、情報セキュリティ監査と システム監査を担当。2007年より現在まで、ISO/IECの規格・標準の策定に従事。情報セキュリティマネジメントとリスク管理に関する著書多数。

 

寺田 和正
[ ロイド レジスター 品質・環境・情報セキュリティ審査員 ]

早稲田大学理工学部卒。企業向け情報システムなどのビジネスアプリケーションの開発に携わった後、1998年より、ISO 14001、ISO 9001、ISO/IEC 27001(情報セキュリティ)、JIS Q 15001(個人情報保護)等のマネジメントシステムの導入および運用支援業務を経験。2007年6月よりロイド・レジスター・クオリティ・アシュアランスにて、ISMS、QMS、EMS等の研修講師、審査員を務める。ISO 14001, ISO 45001 IRCA承認審査員研修講師。著書に、「見るみるJIS Q 15001」、「見るみるISO14001」、「見るみるISO9001」(共に日本規格協会、共著)等

提供サービスについてのお問合せ

検索するにはEnterキーまたは矢印キーを押してください 検索するにはEnterキーを押してください

検索アイコン

何をお探しですか?