★☆★JNSAメールマガジン 第146号 2018.9.21 ☆★☆

こんにちは
JNSAメールマガジン 第146号 をお届けします。

9月-10月にかけて、JNSAでは省庁の方々をお招きしての会員勉強会を開催しています。今後、その他の勉強会企画も進めていきますので、こんな話を聞きたい!これについて知りたい!といった御意見がありましたらぜひ事務局までお寄せ下さい。

さて今回のメールマガジンは、JNSA西日本支部支部長 嶋倉文裕氏に、「経営者に情報セキュリティ対策の必要性を訴求するには」をご寄稿いただきました。

【連載リレーコラム】
「経営者に情報セキュリティ対策の必要性を訴求するには」

西日本支部 経営者向け情報セキュリティ対策実践手引きWG
   西日本支部長 嶋倉 文裕

情報セキュリティに関連する事故や事件をひとたび発生させると、いままでの人材や技術などを社会に投資・貢献してきた努力が、一瞬にして「無に帰す」ことになります。

そのため、常日頃から、自組織の情報セキュリティ対策の有効性を確認すること、またどのようなリスクにさらされており、どの程度の対策をしておくべきかを把握し、対応を決断することが経営者や経営層に問われていますが、経営層にとって情報セキュリティリスクは、理解しにくいものである、というのが実態だと思います。

西日本支部の「経営者向け情報セキュリティ対策実践手引きWG」(以下、RiskWG)では、経営者に情報セキュリティ対策の必要性を訴求し、対策に投資をしてもらうために、ISO31000(リスクマネジメント)のリスクマネジメントを参考に、自組織を評価し情報セキュリティ対策の必要性の見える化の検討を行い、その成果を以下のURLで「経営者のための情報セキュリティ対策―ISO31000から組織状況の確定の事例―」として公開しました。
https://www.jnsa.org/result/2018/west_tebiki/

ISO31000の「組織の状況の確定」では、リスク管理において考慮するのが望ましい外部及び内部の要因を定めています。
Risk WGでは、経営戦略を考えるさいに一般に用いられる分析手法のマクロ環境(PEST)、ミクロ環境(Five Forces)と外部状況、内部状況との関係を整理しました。マクロ環境、ミクロ環境とも外部要因であり、これらはISO31000の外部状況に相当します。

自組織の社会における位置づけ、社会や顧客からの期待など、外部からの要請といった外部状況が、自組織の情報セキュリティの動機付けの大きな要因となり、目指す情報セキュリティ対策の範囲、レベルの要件となります(目指す姿)。一方、内部状況は自組織の様々な要因と紐づけられ、情報セキュリティの視点では、現状の対策状況となります(現状)。目指す姿と現状の情報セキュリティレベルの差異が改善すべき対策となります(差異)。

Risk WGでは様々な企業のケースが考えられるため、いくつかの仮想モデル企業を作成し、モデル企業毎に、経営者の視点による外部状況、内部状況を整理し、目指す姿、現状とその差異を示し、差異となる情報セキュリティ対策を放置することで招く恐れのある被害を金額で明示しリスクの見える化を考えました。差異を改善するための施策については投資費用、回収計画という形で、経営者に向けた見える化の手法の検討を行いました。

「経営者のための情報セキュリティ対策 ―ISO31000から組織状況の確定の事例― 」の第2部に、WGで想定した仮想モデル企業について外部状況、内部状況を整理し、必要な対策を導くプロセスの見える化例を作成しており、経営者に情報セキュリティ対策の必要性を訴求したい方の参考となれば幸いです。
また、これまでの西日本支部での活動は、日常の業務に潜むリスクの<気付き>、情報セキュリティ対策のPDCAを適切にまわす<運用>、対策状況を確認する<チェック>、と目的毎に以下の成果物を作成しています。これらについてもご利用頂ければ幸いです。

<気付き>
「出社してから退社するまで中小企業の情報セキュリティ対策実践手引き」
https://www.jnsa.org/result/2013/chusho_sec/index.html

<運用>
「中小企業向け情報セキュリティポリシー・サンプル
https://www.jnsa.org/result/2016/policy/index.html

<チェック>
「中小企業向け情報セキュリティチェックシート」
https://www.jnsa.org/seminar/nsf/2014kansai/

 

#連載リレーコラム、ここまで

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★SECCON Beginners東京ならびにSECCON Beginners NEXTの参加募集を開始
 しました。
 日 程:2018年10月6日(土)12:45〜19:00 (12:15受付開始)
 会 場:東京都立産業技術高等専門学校
     申込方法やプログラム詳細などはこちらをご覧下さい。
     https://2018.seccon.jp

★ISOG-Jセキュリティオペレーション連携WGで以下の成果物を公開しました。
「セキュリティ対応組織の教科書 ハンドブックv1.0」
https://isog-j.org/output/2017/Textbook_soc-csirt_v2.html

★会員交流部会主催で「JNSA活動説明会」を開催します。
・JNSAの活動について詳しく知りたい
・どの部会・WGに参加すればよいのかよくわからない
このような疑問をお持ちの方はぜひ、ご参加下さい。
日 時:10月5日(金)17:00-18:00
会 場:JNSA事務局 会議室(西新橋)

★国土交通省様をお招きしてJNSA会員向け勉強会を開催します。
「交通ISAC創設検討について−国土交通省におけるセキュリティ対策など−」
日 時:10月18日(木) 16時30分-18時00分
講 師:国土交通省 総合政策局情報政策課 企画調整官 枝村和茂氏

★経営課題検討WGでは以下の勉強会を開催します。
「持続可能性を語る時、知ってて損の無い2つのお話」
日 時:2018年10月19日(金)16時00分−18時00分
講 師:「管理が生み出す第二の利益」たむら会計事務所 田村洋平氏
「BCP想定訓練と通信確保」リコージャパン株式会社 百瀬潔氏

 ※勉強会・説明会へ参加希望の会員様はJNSA事務局までご連絡ください。

【事務局からのお知らせ】
★経済産業省/独立行政法人情報処理推進機構主催で
「第4回コラボレーション・プラットフォーム(中小企業編)」が開催されます。
 日 時:2018年10月16日(火)14:30〜17:30
 会 場:独立行政法人情報処理推進機構
 参加申込み:下記URLよりお申込みください。
    https://www.ipa.go.jp/security/announce/collapla_index.html

★後援イベント「codeBALI(コードバリ)2018」では協賛企業を募集中です。
codebali2018 プログラム|協賛のご案内は以下よりご覧ください。
https://codebali.server-domain.com/

★JNSA会報誌Vol.46を9月下旬に発行予定です。順次発送いたします。
是非社内でご回覧下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン 第146号
発信日:2018年9月21日
発 行:JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.