HOME >  イベント・セミナー情報 > JNSA主催セミナー > 情報セキュリティマネジメント・セミナー2019

日本 ISMS ユーザグループ/日本ネットワークセキュリティ協会 主催
情報セキュリティマネジメント・セミナー2019

日本ISMSユーザグループでは「情報セキュリティマネジメントシステム(ISMS)の実施・運用に関わるベストプラクティス」を、利用者の視点から整理・検討・共有を進めております。本セミナーではサイバーセキュリティやクラウドセキュリティとISMS運用に関わる国際標準化の最新動向をお伝えします。また、日本ISMSユーザグループメンバの実務運用経験をベースに、「最新の環境変化に伴うISMSの実装検討(クラウドファースト時代のリスクマネジメントの事例研究)」、および「ISMSの管理策の実装 イベントログについての考察」などについて、具体的かつ実践的な方法論を共有します。


■ 日 時: 2019年12月4日(水)10:00〜16:30(受付開始:9:30)
■ 場 所: 浅草橋ヒューリックカンファレンス Room1 » アクセス
(台東区浅草橋1-22-16 ヒューリック浅草橋ビル)
■ 主 催: 日本ISMSユーザグループ
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)
■ 定 員: 150名
■ 参加申込み: 定員に達しましたので受付終了しました
■ 料 金: 参加費無料
※当日の講演資料の配布はございません。  
 事前公開可能な資料については、開催日前までにこちらのページに掲載いたします。
■ プログラム
インプリメンテーション研究会 羽田 卓郎 氏(リコージャパン株式会社)
【開会のご挨拶】10:00-10:05

【講演1】10:05-10:55
「ISO/IEC 27000ファミリー規格の最新動向」 
ISO/IEC JTC1/SC27 WG1小委員会主査 相羽 律子 氏 
(株式会社日立製作所)

<概要>
 ISMS要求事項を示すISO/IEC 27001:2013は、ISOのマネジメントシステム規格の共通要素を規定する文書の改訂開始、先行して開始されたISO/IEC 27002の改定状況などを踏まえつつ、改訂に向けた調査・分析を継続し、改訂開始時期及び内容を検討しています。
 また、セクター規格については、ISO/IEC 27019、ISO/IEC 27701など、セクター規格の発行が進む状況において、その様式や記述方法をより明確化するためのISO/IEC 27009の改訂、要求事項を含むセクター規格のISMSとの関係に関する認識合わせなど、さまざまな取り組みを進めています。
 サイバーセキュリティに関する技術仕様書(TS)の検討も継続されており、サイバーセキュリティのコンセプトの共通認識化などを進めています。
 本講演では、こうしたISO/IEC 27000ファミリー規格の開発動向を、情報セキュリティ分野の標準化を行っているISO/IEC JTC 1/SC 27の活動をもとにご報告します。
【質疑応答】10:55-11:00
【講演2】11:00-11:55
「ISO/IEC 27002改定について」
ISO/IEC JTC1/SC27 WG1小委員会 山下 真 氏 (国立研究開発法人 情報通信研究機構)

<概要>
 情報セキュリティ分野で管理策の手引として広く活用されているISO/IEC 27002は、2013年版の出版から6年が経ちました。この間に、組織におけるICTの活用において、情報セキュリティへの取組みに影響する変化が進行しています。例えば、クラウドサービス利用の一層の浸透、産業活動の基盤に組み込まれたICT利用や、サイバーセキュリティについての認識の広がりがあります。また、ISO/IEC 27002の活用経験に基づく改善の必要性も議論されるようになっています。これらを背景に、今、ISO/IEC 27002:2013の次の改定に向けた検討が情報セキュリティ分野の国際標準化活動の場であるISO/IEC JTC 1 SC27において進められています。改定版出版の時期は流動的ですが、およそ2年後が想定されます。
 本講演では、情報セキュリティの国際的な動向を背景に、ISO/IEC 27002改定の目的、概要と特徴を解説し、また、ISO/IEC 27001を含む一群の国際標準の中でISO/IEC 27002が担う役割を展望します。
【質疑応答】11:55-12:00
休憩(12:00 - 13:15)
【講演3】13:15-13:55
「クラウドセキュリティ議論のスタートライン」
インプリメンテーション研究会 小梁 康志 氏(リコージャパン株式会社)

<概要>
ISMSクラウドセキュリティ審査員研修の講師をしていることもあり、クラウドセキュリティについて、質問をいただいたり、議論したりする場面が増えました。そうした中で感じるのは『クラウドって人によって持っているイメージがまるで違うんだな』ということです。それぞれの人がイメージしているクラウドサービスによって議論のスタートラインが違ってきます。
まずは、以後の議論のスタートラインを明確にすることを意図して、基本に立ち返ってクラウドセキュリティを概観します。
【質疑応答】13:55-14:00
【講演4】14:00-14:55
「最新の環境変化に伴うISMSの実装検討(クラウドファースト時代のリスクマネジメントの事例研究)」
日本ISMSユーザグループ リーダー 
インプリメンテーション研究会 主査 魚脇 雅晴 氏 
(NTTコム ソリューションズ株式会社)

<概要>
 企業を取り巻くビジネス環境はめまぐるしく変化しており、そのスピードに追随しながら日々発生する様々なリスクに対して柔軟に対応することが求められている。また、ビジネススピードは益々加速しており、クラウド抜きではビジネスを語れない状況となっている。
 それに伴いどの企業でもクラウドシフトによるリスクの増加があり、直面する課題として適切にリスクマネジメントすることが求められている。しかし、クラウドサービスの導入のスピードに比較してリスクアセスメントの前段としてのリスク認識も現場サイドではあまり一般化されていないのが現状である。
 本テーマではクラウドファーストの流れの中でなにが発生しているのか事象に着目して、情報のシフト、野良クラウド、非正規の使い方の3つの事例を中心に課題の深堀を実施した。なお課題を可視化することで従来のISMSの枠組みに+αとして必要な対応策を洗い出すことでISMSの実装及び運用における方向性を示すことを目指した。
 また、今回は新しい試みとして情報セキュリティの世界にデザイン思考の考え方を導入し、ペルソナを設定することで課題の深堀を実施した。
【質疑応答】14:55-15:00
【講演5】15:00-15:55
「ISMSの管理策の実装 イベントログについての考察」
インプリメンテーション研究会 副主査 秋山 健一 氏(NECプラットフォームズ株式会社)

<概要>
 テーマ2では、“ISMSの規格の要求だけでは組織に実装するのが難しい管理策は何か”、そして、“それを解決するにはどのように考え実装すればよいか”を研究することとしました。管理策が要求している事項を考察し、具体的な対策事例を例示することにより組織の運用への実装を後押しできるのではないかと私どもは考え、議論をスタートいたしました。
 今回検討対象とした管理策は「A.12.4.1 イベントログ取得」としました。この管理策を選定した背景は、『ログの取得』や『ログの保持』は出来ているが、『ログのレビュー』についてはどこまで実施すればよいのだろうとの研究会メンバの意見からでした。
 ログは、ファイルサーバやメールサーバなど多くの場面で取得され保持されています。ログは証拠や正常確認のために取得・保持するだけではありません。レビューすることで、証拠や正常性確認のための“生きたログ”になると考えました。
 『ログのレビュー』について、専門的な解析手法などではなく、一般的なプロセスやシステムを利用する上で参考となる事例をテーマ2ではまとめ、ISMSを取得している組織が、運用を始めやすい『ログのレビュー』について考察し、例示しました。
 ログのレビューの目的や、具体的な事例を通して、私どもの研究成果を共有いたします。
【質疑応答】15:55-16:00
【全体の質疑応答】16:00-16:25
日本ISMSユーザグループ リーダー 
インプリメンテーション研究会 主査 魚脇 雅晴 氏 
(NTTコム ソリューションズ株式会社)
【閉会のご挨拶】16:25-16:30