2005年11月24日

情報セキュリティマネジメント講座1日目・午前

昨日の11月23日からはじまった情報セキュリティマネジメント講座の1日目・午前のメモ

情報セキュリティマネジメント講座
http://www2.tamacc.chuo-u.ac.jp/kikoh/sec_ikusei/2005ISMSprogram.pdf

受講者は30人程度。
中央大学後楽園キャンパス

講義内容が多いので、ざっくりとメモ。

----------------------------
概論
大井正浩

○セキュリティ対策の種類と特性
 物理的な保護
 管理的な保護
 社会的な保護
  社会的保護が充実するのがいいが、ないものねだり

○ISMSとは
 企業経営で成功するための仕組み
 情報漏えい防止だけではなく
  むしろ積極的な経営のための条件と捉えないと

○情報資産の管理の要件
 ●明確なセキュリティ・ポリシー
 ●情報の重要度の認識
  重要度、機密度を定義して、それに応じたルール
 ●情報資産の更新・運用・管理のルール
  活用のために適切なシステムを
  セキュリティだけでなく活用すること

○情報資産とリスク
 情報セキュリティとは組織の情報資産をリスクから保護すること
 →一般的にはこれでいい
 
 「経営にとって3つのリスク」
  ●必要な情報を収集できないリスク:
   これが経営にとって最大のリスク
  ●情報はあるが、加工、分析、活用できないリスク
  ●情報はそろえたが、意思決定ができないリスク

○もうひとつの脅威・情報操作

○IT技術とSocial Engineering
 ケビン・ミトニックが破ったセキュリティのうちIT技術をつかった部分は2〜3割。あとはソーシャル・エンジニアリング。
 企業が発行している会社概要、会計報告書、調査機関の企業情報などを分析。
 内部組織、管理責任者などの情報。

 ある企業では、営業部長がワンマンだった。次期社長?
 →情報システム部門に営業部長の振りしてパスワードを教えろ!!と電話でどなって入手。
  営業部長が有力だという情報があったからできた

○情報セキュリティ
 最大の脅威はソーシャルエンジニアリング

○情報セキュリティのCIA
 学問的な定義なんてどうでもいい!
 組織としてやってるかが勝負
 機密性:できるだけ詳細に定義して、社内の合意にもっていくのが大事

○情報セキュリティの定義
 せっかくIT進歩によって情報を手に入れ、自由に手にした
 セキュリティや管理だといってそれを損なうことは間違っている
 監視社会になってはいけない

○経営と情報セキュリティ
 情報セキュリティはビジネスを進める重要な基盤のひとつ
 ビジネス・パートナーは相手に一定レベル以上の情報セキュリティを求める
 セキュリティのレベルアップは、他社との差別化

○システム監査の視点
 経営が目標になるレベルを明確にすること
 それぞれのリスクをレベル分け。どのレベルに対応するかを経営者が判断
 →金出さないのならレベルを下げてくれというのが情報セキュリティ担当者の仕事

○経営におけるリスクの認識
 純粋リスク
  自然災害など
 管理的リスク
  うまくいけば収益、失敗すれば損失
  経営の成功と失敗ととらえられていたが、それではリスク管理ができない
 投機的リスク
  マネーゲーム
  いかにコントロールするか

○リファレンスモニタ
 ユーザID、パスワード管理

○カテゴリ設定
 ユーザのカテゴリを設定、機密レベルとの組合せで情報利用のコントロール

○読み物
「欺術」ケビン・ミトニック、 ウィリアム・サイモン著
http://www.amazon.co.jp/exec/obidos/ASIN/479732158X/

「すべては傍受されている」ジェイムス・バムフォード著
http://www.amazon.co.jp/exec/obidos/ASIN/4047914428/

----------------------------
概論に追加して

五太子政史

1、情報セキュリティの現状

○Ernst&Youngの調査(PDF
 CIO,CISOへオンラインでの調査
 グローバルに1000社。ほぼ全業種

 一部電話インタビューで補っている
 オンラインなので、回収率がわからないので困った

 日本は自前主義だが、グローバル企業はセキュリティシステムの運用などで外部委託が多い

→セキュリティに自信のある企業は他とどう違うか
 ●情報セキュリティ部門がユーザ部門と定期的にコミュニケーション
 ●情報セキュリティ投資の効果に自信
  額の増加には目立った差がない
 ●セキュリティの重要性をCEOやビジネスリーダーが十分に認識している
 ●セキュリティ文化の差
  従業員が継続的なセキュリティ教育を受けている
  ユーザが情報の分類に関して指示をうけている
  システム利用者が不審な兆候を報告するよう訓練されている
   
○2004 Gloobal Security Survey
 http://www2.cio.com/research/surveyreport.cfm?id=75
 http://www.cio.com/archive/091504/security.html

 CIOマガジンが、PriceWaterhouseCoopersと組んでオンライン調査
 62カ国8000人の経営者

 セキュリティに自信があると答えた企業は、
 1、高いセキュリティ予算
    US企業のセキュリティ予算の平均はIT予算の9%
    上級グループでは、14%
 2、ペネトレーションテストを実行
 3、情報セキュリティをITだけの問題でなく包括的に捉えている
    入退室管理など
    インシデント率は他より高いが、被害額は他より低い
    →インシデントを発見して、ちゃんと管理されている
 4.包括的リスクアセスメントが確立
    優先順位づけまで行われている
 5、全体のセキュリティアーキテクチャを把握している
    セキュリティ管理の全体像を経営者が理解している
 6、四半期毎のレビューを行う

○企業における情報セキュリティ実態アンケート調査2005(NRI)
 http://www.nri-secure.co.jp/news_alert/report/trend/05_07_20.html

 従業員300人以上の企業および300人未満で東証一部・二部上場の3千社
 郵送アンケート。回収率15%

 ●CIOなど情報シスに、情報セキュリティの最高責任者が集中
 ●ポリシー策定率は同じくらい
 ●自前でやりますというのが、非常に多い
  自社独特なのでよそには任せられませんとか
 ●教育が不十分
  欧米と差が目立つ
 ●個人情報保護法への対応
  90%以上がなんらかの対応
  2割ほどが十分対応できていないとか

  法が先にきて、後ろにある倫理がはっきりしない
  個人情報に関する犯罪によって、どう臨まないといけないかが変わる可能性がある

2、情報セキュリティとCSR
 1、情報セキュリティは「さぼり得?」
   費用対効果がなかなかでないので。。

 2、「情報セキュリティ管理」の行き過ぎ
   欧米ではメールの内容を人事がチェックして首だとか

○なぜ今CSR?
 金儲けだけすればいいというのは、今に始まったことではない
 エンロン、ワールドコム、アンダーセンなどの事件後
 ハーバード・ビジネススクールのペイン教授の「バリューシフト」という本が注目された
 →事例が並んでいて、解釈に困った。あんまり参考にならないんじゃないのと?

 「ビジョナリーカンパニー」(1995年、ポラス&コリンズ著、日経BP)
  企業が続いていて、トップ交代後も活力を維持するには思想が大事だと

  法律とIT社会が変化
   今までは表できれいなことを言って、裏で汚いことができないように
   雪印の事件は、対応するときに国や農協が放っておかないだろうと高をくくっていた
   今はどんな大企業でも国が守ってくれない

 良心の価値が上がっている
  企業論として
  「会社はどこへいくのか」「会社はだれのものか」岩井克久教授

 ●ジョンソン&ジョンソンの事例
  1982年、タイレノールに流通過程で毒物混入される事件。死者7人
  
  市場から引き上げる決定、この活動で1億ドル以上の損失をこうむる
  カプセルを錠剤に。情報提供に賞金
  
  結果、同社は一度失ったタイレノールのシェアを以前より伸ばした。

  →経営陣はタイレノールのブランドは駄目になったと思った。
  結果的にうまくいったが、かならずしもうまくいくとは限らない

 利益を上げなくてもいいわけではない。
 経営者にとって難しい判断

○参考資料
 総務省「情報セキュリティに関する実態調査」
 http://www.soumu.go.jp/s-news/2004/040705_2.html

○書籍

会社はだれのものか
 岩井克人=著、平凡社、ISBN4-582-83270-9

会社はこれからどうなるのか
  岩井克人=著、平凡社、ISBN4-582-82977-5

ビジョナリーカンパニー
 ジェームズ・C・コリンズ/ジェリー・I・ポラス著、日経BP、ISBN:4-8227-4031-5

金のなる木は清い土で育つ
 藤野英人著、経済界、ISBN:4-7667-8326-3

バリューシフト
 リン・シャープ ペイン 著、毎日新聞社、ISBN4-620-3167-7

ハーバードのケースで学ぶ企業倫理
 リン・シャープ ペイン 著、慶応義塾大学出版会、ISBN4-7664-0780-6

富士ゼロックスの倫理・コンプライアンス監査
 箱田順哉 監/吉田邦雄 著、東洋経済新報社、ISBN4-492-60144-9

CSR経営戦略
 伊吹英子 著、東洋経済新報社、ISBN4-492-53195-5

正しいこと
 ジェフリー・セグリン:著、ダイヤモンド社、ISBN4-478-73275-2

----------------------------
posted by 端っこなひと at 13:40| Comment(2) | TrackBack(1) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
私もそのセミナーに参加していました。
大井先生のCOBITのお話が私はとっても印象てきでした。無料であれだけ実践的なお話しが聞けてためになりました。
Posted by あまてらす at 2005年12月03日 12:46
あまてらすさん、コメントありがとうございます。
参加されてた方ですか。

私は、COBITについてはよくわかってません。勉強のとっかかりを頂いた感じです。

講座はとても濃い内容でしたね。神戸から参加したかいがありました。

無料という点については税金が投入されてますから、受講した人間は責任は重大だったりします^^;
Posted by 端っこなひと at 2005年12月04日 23:16
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック

COBIT(成熟度モデル)について
Excerpt: ■コメント 昨日で「情報セキュリティマネジメント講座」を無事終了しました。今回学んだことを早速業務に生かす為、試行錯誤しております。セキュリティ関連の予算は、効果の確認が難しい為、経営者から見ると果..
Weblog: セキュリティ物置
Tracked: 2005-12-03 12:47