経営者のための情報セキュリティ対策
―ISO31000から組織状況の確定の事例―
（西日本支部/経営者のための情報セキュリティ対策実践手引きWG）

2018.6.11

※引用のご連絡及び内容に関するお問い合わせは、
「各種公開資料の引用及び、内容に関するお問合せ」をご確認下さい

目 的

情報経営者向け情報セキュリティ対策実践手引きWG（以下、Risk WG）では、経営者に情報セキュリティ対策の必要性を訴求し、対策に投資をしてもらうために、必要性の見える化施策を検討することを活動目的としました。背景で記述したような、情報セキュリティに起因する影響をできる限り最小限にし、情報セキュリティ対策が、事業継続への投資として必要不可欠であることを経営者に理解して戴く方法として、ISO31000（リスクマネジメント）のリスクマネジメントを例にして、自社の組織そのものを評価するための一手段として提示いたします。
リスクマネジメントは、事業継続を目的とする経営者にとって、必須の事案です。
国際標準規格ISO31000ではリスクマネジメントに関する原則および指針を規格として提供しています。この規格では、リスクマネジメントの中で、現状に於ける自組織が引き起こすであろうリスクに対し、どのように、また、どの程度対応できるかを検討するうえでの「組織の状況の確定」プロセスが追加されています。
本冊子では、ISO31000の「組織の状況の確定」と言うステップを中心に、情報セキュリティの目的を明確にし、自組織の情報セキュリティに係るリスクの把握、リスクの評価、リスク対応を決断し、自組織に必要な対策を導くプロセスを、いくつかの業種・業態の仮想のモデル企業例を参考に紹介しています。

背 景

現在の社会において、情報システムは経営を支える最重要基盤であり、また様々な分野や方法で我々の生活の中に溶け込んでいます。
この経営を支える情報システムの安定稼働に対する不安材料として、電気や通信の故障などのインフラの問題に加えて、近年では情報システムへのサイバー攻撃や従業者による内部不正など、情報セキュリティに対する問題が浮上しています。
ひとたび情報セキュリティに関連する事故や事件が発生すると、影響を受ける範囲は甚大であり、いままでに、人材や技術など、社会に投資・貢献してきた努力が、一瞬にして「無に帰す」ことになります。これまでにも、情報セキュリティ対策に力を入れてきた企業が情報漏洩事故を起こすことで社会から厳しく糾弾された例が多くあります。
また、情報漏洩以外でも、マルウェアの侵入による工場ラインの停止や、不安定な動作による製品品質の劣化、低下、製品の出荷の遅れ・停止などによる、経営への影響は計り知れません。
このため、常日頃から、自社の情報セキュリティ対策がどの程度実施されているのか、どのようなリスクにさらされており、どの程度の対策をしておくべきなのか、それらを把握し、対応を決断することが経営者や経営層の方々に問われています。

経営者向け情報セキュリティ対策実践手引きWGメンバー

井上 陽一（JNSA顧問）
大室 光正（株式会社インターネットイニシアティブ）
河野 　愛（株式会社インターネットイニシアティブ）
久保 智夫（株式会社サーバーワークス）
小柴 宏記（ジーブレイン株式会社）
嶋倉 文裕（富士通関西中部ネットテック株式会社）
久井 隆晶（富士通関西中部ネットテック株式会社）
元持 哲郎（アイネット・システムズ株式会社）
吉崎 大輔（ＮＥＣソリューションイノベータ株式会社）
米澤 美奈（株式会社ソリトンシステムズ）

WGにご協力を頂いた皆様

青木　 茂
今井 　実
塩田 廣美
西川 和予

報告書

・本編：経営者のための情報セキュリティ対策.pdf 　 [1.75MB]

・第2部：仮想モデル企業.pdf　 [939KB] 　（モデル企業） 　・ＥＣサイト企業 　・スーパーマーケット 　・医療機関 　・商社 　・製造業（装置系） 　・製造業（情報系）

本報告書に関する引用・内容についてのご質問等はフォームからご連絡下さい。
※引用のご連絡に対する承諾通知はご返信しておりませんのでご了承下さい。

※Acrobat Reader 6.0以前のバージョンでは正常な表示ができない場合が
あります。Acrobat Reader 7.0以降のバージョンでお読みください。
http://www.adobe.co.jp/products/acrobat/readstep2.html