2024年度 第5回定例研究会

<2025年の情報セキュリティ監査の注力点 ~情報セキュリティ十大トレンドをもとに~>

2025年01月28日開催

講演概要

当協会では毎年年初に「監査人の警鐘 情報セキュリティ十大トレンド」を協会ホームページへの公開及びメールマガジン等により協会関係者に配信しています。
 このレポートでは、予想されるトレンドに対してプロアクティブな対応を図るために、それぞれのトレンドに対する監査のポイントを記載し、情報セキュリティ監査人への意識付け及び監査業務を行う組織への事業の方向性等を示唆するメッセージとして関係者に役立てていただけることを目的としています。
 昨年と同様にホームページからの情報提供だけでなく、会員及び情報セキュリティ監査人等へ直接メッセージを届け、監査についてのより強いモチベーションを与える機会としてパネルディスカッション形式で意見交換を行います。

なお、2025年予測につきましては、下記URLにて公開しております。
https://www.jasa.jp/seminar/sec_trend2025/

セミナーレポート

2024年度 第5回定例研究会は、工学院大学名誉教授 大木氏、エヌ・ティ・ティ・コミュニケーションズ株式会社 間形氏、日本セキュリティ監査協会 永宮氏、日本マイクロソフト株式会社 久保田氏、PwC Japan有限責任監査法人 加藤(俊)氏の5名をお招きし「2025年度の情報セキュリティ監査の注力点~情報セキュリティ十大トレンドをもとに」をテーマに、パネルディスカッション形式でご講演を頂きました。

冒頭は大木氏より、講演会のベースであるJASAの2025年 情報セキュリティ10大トレンドの選考過程や、今回のレポートでは「ランサムウェア」や「生成AI」に関する項目が突出して関心が高く、官民双方の連携が必要になってきたことについて説明をいただきました。

その後、パネルディスカッションのアジェンダとして、ディスカッション(Round1/Round2)の順に進めることが示されました。

Round1:2025年のトレンドの背景についての考察

「戦場化したサイバー空間と経済安全保障」(10大トレンド 2位、5位、9位に関連)では、間形氏より、サイバー空間では攻撃者が圧倒的に有利で、自衛隊等の特定組織だけでは対抗できないため官民連携が必要であり、サイバー防御法案が具体化されつつあると解説いただきました。また、2025年5月施行予定の重要経済安保情報保護法(セキュリティクリアランス制度)においては、特定社会基盤事業者となる供給者・委託先のセキュリティの取り組みが必要になり、サプライチェーン全体の取り組みが重要であることを解説いただきました。

次に「人口減少社会が影を落とすサイバーセキュリティ」(10大トレンド 5位、7位、8位に関連)では、加藤(俊)氏より日本は世界最高水準の高齢化率で人口減少に向かっており、今後仕事面でセキュリティが選ばれるのかどうかが課題となる可能性があること、そして高齢者が多い国ではインフラや組織の維持が難しくなっていくため、ますますサプライチェーン管理が重要となり特にサプライチェーンのモニタリングは実践・監査の両面で留意すべきポイントになると解説いただきました。

次に「より高まるガバナンスの重要性」(10大トレンド 3位、7位、8位、10位に関連)では、永宮氏より知識労働者による組織のガバナンスはオーケストラ型が望ましいとされているが、その適切な運用のために内部統制および経営者の説明責任が必要になってきていること、そして、軍隊型・オーケストラ型に共通するガバナンス考慮事項は「的確な目標設定」にあると解説いただきました。

次に「生成AI等、新しい技術が生み出す社会の変化」(10大トレンド 3位、4位に関連)では、久保田氏より、これからAIの利活用が促進されていく状況では、セキュリティ監査人もAIを使っていないと著作権やハルシネーションなどのAIリスクが確認できないため、正しいAIへの理解が必要であることを解説いただきました。また、攻撃者の立場ではAIは悪用によって攻撃機会を増やすこともできうるため、これからのセキュリティ監査人はAIの目的の理解、そこから生じるリスクの把握を監査の中でやっていくことになると解説いただきました。

最後に「ネットワーク化した社会の脆弱性」(10大トレンド 1位、2位、6位に関連)では、各パネラーからの資料の紹介を通して、社会の経済格差と社会の分断の結果としてサイバー攻撃のビジネス化が進んでいる現状がある中、能動的サイバー防御などますます官民連携が重要となってくる旨の意見交換がなされました。

Round2: ディスカッション

「監査のポイントとして喚起したいポイント等」では、サプライチェーンの監査に関する意見が多く交わされました。サプライチェーンの監査では、子会社や委託先の例えばログチェックや物理的対策、教育などを実施しているか委託元が末端までモニタリングすることが求められること、サプライチェーン全体の共通認識のためにはISMAPや自工会ガイドラインのような共通基準が有益であるとの協議がなされました。また、今後さらにリスクベース監査の採用が進むと推察されることやAIを活用した監査を推進していく必要があることについても議論がされました。

 当日の参加人数は173名です。

Web会議形式ならではのチャットによる質疑応答が講演中から活発に行われ、パネリストの方々から丁寧にフォローいただきました。質疑応答の様子からも本テーマに関する受講者の関心の高さがうかがえるセミナーとなりました。

 

講演資料

講演資料は下記からダウンロードできます。(JASA会員/CAIS・QISEIA資格者のみ。ログインが必要です)

ダウンロードページへ