2022年度 第5回定例研究会
<令和5年度の情報セキュリティ監査の注力点
~情報セキュリティ10大トレンドをもとに>
2023年01月19日開催
講演概要
当協会では毎年年初に「監査人の警鐘 情報セキュリティ10大トレンド」を協会ホームページへの公開及びメールマガジン等により協会関係者に配信しています。
このレポートでは、予想されるトレンドに対してプロアクティブな対応を図るために、それぞれのトレンドに対する監査のポイントを記載し、情報セキュリティ監査人への意識付け及び監査業務を行う組織への事業の方向性等を示唆するメッセージとして関係者に役立てていただけることを目的としています。
昨年と同様にホームページからの情報提供だけでなく、会員及び情報セキュリティ監査人等へ直接メッセージを届け、監査についてのより強いモチベーションを与える機会としてパネルディスカッション形式で意見交換を行う場を提供します。
セミナーレポート
2022年度 第5回定例研究会は、工学院大学名誉教授 大木氏、日本セキュリティ監査協会 永宮氏、長崎県立大学 加藤(雅)氏、NRIセキュアテクノロジーズ株式会社 菅谷氏、NTTコミュニケーションズ株式会社 間形氏、PwCあらた有限責任監査法人 加藤(俊)氏、日本マイクロソフト株式会社 久保田氏、伊藤忠商事株式会社 佐藤氏、の8名をお招きし
「令和5年度の情報セキュリティ監査の注力点~情報セキュリティ10大トレンドをもとに」をテーマに、パネルディスカッション形式でご講演を頂きました。
冒頭で大木氏より、講演会のベースであるJASAの情報セキュリティ10大トレンドの選考過程や今回のレポートのキーワードである「社会インフラへ高まるリスク」についての解説をいただきました。その後10大トレンドのトピックスとして、大きく分類すると「社会的仕組みの変化」とそれに対する「各組織の変化への対応」に関するトピックスがあり、今回の研究会ではそれぞれについて2部構成でパネルディスカッションを進めることが示されました。
第一部は、永宮氏がモデレータを担当し、「社会的仕組みの変化」についてディスカッションが行われました。パネリストの間形氏からは「大規模インフラ障害」について、菅谷氏からは「サプライチェーン」について、加藤(雅)氏からは「クラウド障害」について、それぞれ見解が示されました。永宮氏から、変化のポイントとして、機密性、完全性、可用性のうち特に可用性が重要になってきているのではないかという指摘があり、パネリスト間の意見交換では、可用性を担保するためにはどのようにリスクを考えるべきか、またインシデント発生時のシステムのレジリエンスを含めたインシデント対応をどう考えるかということについて議論がされました。「想定外を想定する」ことが必要になってきているが、そのためには、まずしっかりした現状把握が不可欠であること、見えない部分があることをある程度割り切り、問題が発生したときの代替手段をしっかり準備するということが肝心でなないかという提言で一部は締めくくられました。
第二部は、加藤(俊)氏がモデレータを担当し、「各組織の変化への対応」についてディスカッションが行われました。パネリストの佐藤氏からは「サイバー攻撃」について、久保田氏からは「クラウド利用」について、現状の課題の解説と、それぞれ情報セキュリティ監査のポイントに関するご意見を頂きました。モデレータの加藤(俊)氏からなぜ、「ダメ経営者」や「怠け者システム管理者」が生まれるのかという問いかけがあり、経営者のコスト重視のマインド、サイバーセキュリティがビジネスに及ぼす重要性の認識不足、システム管理者の勉強不足、パッチ適用の工数確保の問題などがパネリストより説明されました。また各社の状況・規模に応じてリスクに対してどう対策を考えていくのかについて意見が出されました。またセキュリティ監査のポイントからは、対策がとれていることの確認の手段として、「考え方を説明させる」「モニタリングができているか確認する」「ID管理等を活用しIT資産全体が適切に管理されているか確認する」等も考えられるという意見をパネリストから頂きました。
最後に全体のまとめとして大木先生から「やるべき事をやる」「想定外を想定する」ために経営者はどう考えれば良いのか/「ダメ経営者」とはどのような経営者か、「怠け者システム管理者」の意識を変えるにはどうすれば良いかといった質問がなされ、パネリストの皆様からそれぞれ追加のご意見をお聞きしました。
当日は200名以上の方にご参加いただきました。
セミナー後にはチャットにより多くのコメントが寄せられるとともに、質疑応答も活発に行われ、講師の方々からすべての質問について丁寧にフォローいただきました。受講者からのインプットの様子からも本テーマに関する受講者の皆様の興味がうかがえるセミナーとなりました。
なお、「助言型情報セキュリティ監査における実務心得集」は成果物ページ(閲覧にはJASA会員またはCAIS・QISEIAでのログインが必要です。)で公開中です。
講演資料
講演資料は下記からダウンロードできます。(JASA会員/CAIS・QISEIA資格者のみ。ログインが必要です)
ダウンロードページへ